Shellshock es un nombre colectivo para una serie de problemas de seguridad de Linux en el shell bash. Bash es el terminal predeterminado en muchas distribuciones de Linux, lo que significaba que los efectos de los errores eran particularmente frecuentes.
Nota: La vulnerabilidad no afectó a los sistemas Windows porque Windows no usa el shell Bash.
En septiembre de 2014, Stéphane Chazelas, investigador de seguridad, descubrió el primer problema en Bash y lo denunció en privado a la persona responsable de Bash. Trabajó con el desarrollador responsable del mantenimiento de Bash y se desarrolló un parche para resolver el problema. Después de que se lanzó el parche y estuvo disponible para su descarga, la naturaleza del error se hizo pública a fines de septiembre.
Horas después de que se anunció el error, estaba siendo explotado en la naturaleza y durante el día ya se usaban botnets basadas en exploits para realizar ataques DDOS y escaneos de vulnerabilidades. Aunque ya había una solución disponible, la gente no pudo implementarla lo suficientemente rápido como para evitar la prisa por explotar.
Durante los próximos días, se identificaron cinco vulnerabilidades más relacionadas. Nuevamente, las correcciones se desarrollaron y lanzaron rápidamente, pero a pesar de la explotación activa, las actualizaciones aún no se aplicaron necesariamente de inmediato o incluso estuvieron disponibles de inmediato en todos los casos, lo que resultó en más máquinas comprometidas.
Las vulnerabilidades provienen de varios vectores, incluidas las llamadas al sistema del servidor web basado en CGI que no se abordaron correctamente. El servidor OpenSSH permitió la elevación de privilegios de un shell restringido a un shell no restringido. Los servidores DHCP maliciosos pudieron ejecutar código en clientes DHCP vulnerables. Al procesar mensajes, Qmail autorizó la explotación. El shell restringido de IBM HMC podría explotarse para acceder a un shell bash completo.
Debido a la naturaleza generalizada del error, así como a la gravedad de las vulnerabilidades y la prisa por explotar, Shellshock a menudo se compara con «Heartbleed». Heartbleed era una vulnerabilidad en OpenSSL que revelaba el contenido de la memoria sin interacción del usuario.