Shellshock é um nome coletivo para uma série de problemas de segurança do Linux no shell bash. Bash é o terminal padrão em muitas distribuições Linux, o que significa que os efeitos dos bugs foram particularmente generalizados.
Nota: A vulnerabilidade não afetou os sistemas Windows, pois o Windows não usa o shell Bash.
Em setembro de 2014, Stéphane Chazelas, um pesquisador de segurança, descobriu o primeiro problema no Bash e o relatou em particular para a pessoa que mantém o Bash. Ele trabalhou com o desenvolvedor responsável pela manutenção do Bash e um patch foi desenvolvido para resolver o problema. Assim que o patch foi lançado e disponibilizado para download, a natureza do bug foi divulgada ao público no final de setembro.
Poucas horas após o anúncio do bug, ele estava sendo explorado na natureza e em um dia já havia botnets baseados na exploração sendo usada para realizar ataques DDOS e vulnerabilidade varreduras. Mesmo que um patch já estivesse disponível, as pessoas não eram capazes de implantá-lo rápido o suficiente para evitar o aumento da exploração.
Nos próximos dias, mais cinco vulnerabilidades relacionadas foram identificadas. Mais uma vez, os patches foram desenvolvidos e lançados rapidamente, mas apesar da exploração ativa, as atualizações ainda não eram necessariamente aplicado imediatamente ou mesmo disponível imediatamente em todos os casos, levando a mais comprometimento máquinas.
As vulnerabilidades vieram de uma variedade de vetores, incluindo chamadas de sistema de servidor da web baseadas em CGI sendo tratadas incorretamente. O servidor OpenSSH permitiu uma elevação de privilégio de um shell restrito para um shell irrestrito. Os servidores DHCP mal-intencionados foram capazes de executar códigos em clientes DHCP vulneráveis. Ao processar mensagens, o Qmail permitiu a exploração. O shell restrito do IBM HMC pode ser explorado para obter acesso a um shell bash completo.
Devido à natureza generalizada do bug, bem como à gravidade das vulnerabilidades e à pressa de exploração, o Shellshock é frequentemente comparado ao “Heartbleed”. Heartbleed era uma vulnerabilidade no OpenSSL que vazava o conteúdo da memória sem qualquer interação do usuário.