Shellshock, bash kabuğundaki bir dizi Linux güvenlik sorununun ortak adıdır. Bash, birçok Linux dağıtımında varsayılan terminaldir; bu, hataların etkilerinin özellikle yaygın olduğu anlamına gelir.
Not: Windows, Bash kabuğunu kullanmadığından, güvenlik açığı Windows sistemlerini etkilemedi.
Eylül 2014'te, bir güvenlik araştırmacısı olan Stéphane Chazelas, Bash'teki ilk sorunu keşfetti ve bunu Bash'in bakımını yapan kişiye özel olarak bildirdi. Bash'in bakımından sorumlu geliştiriciyle çalıştı ve sorunu çözen bir yama geliştirildi. Yama yayınlanıp indirilmeye hazır olduğunda, hatanın doğası Eylül ayının sonlarına doğru halka açıklandı.
Böceğin duyurulmasından birkaç saat sonra, vahşi doğada ve bir gün içinde istismar ediliyordu. DDOS saldırıları ve güvenlik açığı gerçekleştirmek için kullanılan istismara dayalı botnet'ler zaten vardı taramalar. Bir yama zaten mevcut olmasına rağmen, insanlar onu istismarın acele etmesini önleyecek kadar hızlı dağıtamadılar.
Önümüzdeki birkaç gün içinde, ilgili beş güvenlik açığı daha tespit edildi. Yine yamalar hızla geliştirildi ve yayınlandı, ancak aktif olarak kullanılmasına rağmen güncellemeler hala değildi. mutlaka hemen uygulanır veya her durumda hemen kullanılabilir, bu da daha fazla tehlikeye yol açar makineler.
Güvenlik açıkları, yanlış işlenen CGI tabanlı web sunucusu sistem çağrıları da dahil olmak üzere çeşitli vektörlerden geldi. OpenSSH sunucusu, kısıtlı bir kabuktan sınırsız bir kabuğa ayrıcalık yükselmesine izin verdi. Kötü amaçlı DHCP sunucuları, savunmasız DHCP istemcilerinde kod yürütebildi. Mesajları işlerken, Qmail istismara izin verdi. IBM HMC kısıtlı kabuğu, tam bir bash kabuğuna erişim sağlamak için kullanılabilir.
Böceğin yaygın doğasının yanı sıra güvenlik açıklarının ciddiyeti ve sömürünün acelesi nedeniyle, Shellshock genellikle “Heartbleed” ile karşılaştırılır. Heartbleed, OpenSSL'de herhangi bir kullanıcı etkileşimi olmadan bellek içeriğini sızdıran bir güvenlik açığıydı.