Shellshock is een verzamelnaam voor een reeks Linux-beveiligingsproblemen in de bash-shell. Bash is de standaardterminal in veel Linux-distributies, wat betekende dat de effecten van de bugs bijzonder wijdverbreid waren.
Opmerking: het beveiligingslek had geen invloed op Windows-systemen, aangezien Windows de Bash-shell niet gebruikt.
In september 2014 ontdekte Stéphane Chazelas, een beveiligingsonderzoeker, het eerste probleem in Bash en meldde het privé aan de persoon die Bash beheert. Hij werkte samen met de ontwikkelaar die verantwoordelijk was voor het onderhoud van Bash en er werd een patch ontwikkeld die het probleem oploste. Toen de patch eenmaal was uitgebracht en beschikbaar was om te downloaden, werd de aard van de bug eind september voor het publiek vrijgegeven.
Binnen enkele uren na de aankondiging van de bug werd deze in het wild en binnen een dag uitgebuit er waren al botnets op basis van de exploit die werd gebruikt om DDOS-aanvallen en kwetsbaarheden uit te voeren scant. Hoewel er al een patch beschikbaar was, waren mensen niet in staat om deze snel genoeg te implementeren om de stormloop van uitbuiting te voorkomen.
In de komende dagen werden nog vijf gerelateerde kwetsbaarheden geïdentificeerd. Wederom werden patches snel ontwikkeld en uitgebracht, maar ondanks actieve exploitatie waren de updates dat nog steeds niet noodzakelijkerwijs onmiddellijk toegepast of zelfs onmiddellijk beschikbaar in alle gevallen, wat leidt tot meer gecompromitteerd machines.
De kwetsbaarheden kwamen van verschillende vectoren, waaronder op CGI gebaseerde webserversysteemaanroepen die onjuist werden afgehandeld. OpenSSH-server stond een verhoging van bevoegdheden toe van een beperkte shell naar een onbeperkte shell. Kwaadwillende DHCP-servers waren in staat om code uit te voeren op kwetsbare DHCP-clients. Bij het verwerken van berichten stond Qmail misbruik toe. De beperkte shell van IBM HMC kan worden misbruikt om toegang te krijgen tot een volledige bash-shell.
Vanwege de wijdverbreide aard van de bug, evenals de ernst van de kwetsbaarheden en de stormloop van uitbuiting, wordt Shellshock vaak vergeleken met "Heartbleed". Heartbleed was een kwetsbaarheid in OpenSSL die de inhoud van het geheugen lekte zonder enige interactie van de gebruiker.