Shellshock er et samlenavn for en serie Linux-sikkerhetsproblemer i bash-skallet. Bash er standardterminalen i mange Linux-distribusjoner, noe som betydde at effektene av feilene var spesielt utbredt.
Merk: Sårbarheten påvirket ikke Windows-systemer siden Windows ikke bruker Bash-skallet.
I september 2014 oppdaget Stéphane Chazelas, en sikkerhetsforsker, det første problemet i Bash og rapporterte det privat til personen som vedlikeholder Bash. Han jobbet med utvikleren som var ansvarlig for å vedlikeholde Bash, og det ble utviklet en oppdatering som løste problemet. Når oppdateringen ble utgitt og tilgjengelig for nedlasting, ble feilens natur utgitt for offentligheten nær slutten av september.
I løpet av timer etter kunngjøringen av feilen ble den utnyttet i naturen og i løpet av et døgn det var allerede botnett basert på utnyttelsen som ble brukt til å utføre DDOS-angrep og sårbarhet skanner. Selv om en oppdatering allerede var tilgjengelig, var folk ikke i stand til å distribuere den raskt nok til å unngå rush av utnyttelse.
I løpet av de neste dagene ble ytterligere fem relaterte sårbarheter identifisert. Igjen ble patcher raskt utviklet og utgitt, men til tross for aktiv utnyttelse, var det fortsatt ikke oppdateringene nødvendigvis brukt umiddelbart eller til og med tilgjengelig umiddelbart i alle tilfeller, noe som fører til mer kompromitterte maskiner.
Sårbarhetene kom fra en rekke vektorer, inkludert CGI-baserte nettserversystemanrop som ble feil behandlet. OpenSSH-server tillot en utvidelse av privilegier fra et begrenset skall til et ubegrenset skall. Ondsinnede DHCP-servere var i stand til å kjøre kode på sårbare DHCP-klienter. Ved behandling av meldinger tillot Qmail utnyttelse. Det begrensede IBM HMC-skallet kan utnyttes for å få tilgang til et fullstendig bash-skall.
På grunn av feilens utbredte natur, så vel som alvorlighetsgraden av sårbarhetene og hastverket med utnyttelse, sammenlignes Shellshock ofte med "Heartbleed". Heartbleed var en sårbarhet i OpenSSL som lekket innholdet i minnet uten brukerinteraksjon.