30/09/2014 11h19 - Atualizado em 30/09/2014 12h10

Shellshock: entenda a falha no Bash e saiba como proteger Mac OS e Linux

João Kurtz
por
Para o TechTudo

O bug encontrado em sistemas Unix e Mac OS X está tirando o sono de muitos programadores e administradores por todo o mundo. Chamado por pesquisadores de “Shellshock”, atinge a interface de comandos Bash e pode ser usada para dar acesso a um servidor para pessoas não autorizadas.

Falha no Firefox permite falsificar criptografia Mozilla NSS; entenda

Bug afeta servidores que rodam Linux ou Mac OS (Foto: Reprodução/Symantec)Bug afeta servidores que rodam Linux ou Mac OS (Foto: Reprodução/Symantec)

O Bash funciona de forma semelhante ao Prompt de Comando do Windows. A diferença é que os sistemas baseados em Unix, como Linux e Mac OS, não possuem um programa específico para a função, podendo escolher entre vários deles.

Essas interfaces de comando possuem uma outra característica: podem executar ordens enviadas através de scripts CGI, que são uma forma usada por páginas da Web para gerar conteúdo dinâmico, baseado nas configurações do usuário. Um exemplo disso são páginas Wiki, que usam CGI para fazer requisições ao servidor, pedindo que o banco de dados envie o conteúdo de uma página específica.

Outra forma usada por esses scripts para gerar conteúdo são as variáveis de ambiente. Elas são responsáveis por informar valores como o sistema operacional do usuário, sua versão, hora ou data. É através dessas informações que uma página sabe, por exemplo, se o usuário está acessando de um desktop ou dispositivo móvel. Embora essas variáveis sejam definidas pelo sistema, é possível modificá-las manualmente e enganar o servidor, fazendo com que ele acredite que você está usando um sistema operacional ou navegador diferente.

A falha conhecida como Shellshock ocorre porque esse método também pode ser usado para enviar comandos ao servidor que não estavam previstos no script CGI. Por exemplo, ao invés de informar que o navegador usado é o Mozilla Firefox, é possível mandar ao servidor que retorne o conteúdo do diretório do script. Este tipo de comportamento deveria ser identificado e bloqueado automaticamente pelo Bash. Mas, como isso não ocorre, ele pode ser explorado de várias formas, inclusive para roubar as credenciais de acesso ao servidor, abrindo as portas para ataques ainda mais graves e expondo dados que deveriam permanecer em sigilo, como nomes de usuário, senhas ou arquivos pessoais.

Outro Heartbleed

O Shellshock é considerada uma falha tão importante quanto a Heartbleed, que atingiu o sistema de criptografia OpenSSL. Entretanto, ele só atinge servidores de páginas web que estejam rodando sistemas operacionais baseados em Unix, como o Linux e Mac OS X. Outra diferença entre os bugs é que o Heartbleed apenas permitia ler dados ocultos em um servidor. Já o Shellshock é mais versátil e imprevisível.

Qual a melhor combinação de antivírus e anti-hacker? Opine no Fórum do TechTudo.

A boa notícia é que os dados indicam que o Shellshock não era muito conhecido antes de ser revelado na última semana, o que significa que o número de ataques feitos usando a falha é mínimo. Por outro lado, a popularização repentina do bug criou uma corrida contra o tempo, com criminosos criando formas de explorá-lo rapidamente antes que os servidores sejam protegidos.

O pesquisador sênior de segurança da Kaspersky,  David Jacoby, acredita que o alcance do Shellshock ainda não foi descoberto. “É quase certo que os hackers e pesquisadores de segurança estejam testando os serviços web e software Linux agora e os resultados desses testes provavelmente serão publicados nos próximos dias”, alerta.

Um desses golpes foi descoberto nos últimos dias pela fabricante de antivírus. Ele usa o Shellshock para enviar comandos para o Bash, instruindo o programa a se comunicar com dois IPs externos. Um deles é usado para comunicar aos criminosos que o servidor foi infectado, enquanto o outro possui um malware que se comunica com o servidor para receber ordens e comandos.

Ataque usa o Shellshock para infectar servidores (foto: Reprodução/Kaspersky)Ataque usa o Shellshock para infectar servidores (foto: Reprodução/Kaspersky)

O servidor infectado é reconfigurado para fazer flooding, uma tática usada em ataques DDoS. Além disso, ele escaneia qualquer conexão, tentando fazer o login no outro dispositivo através de um conjunto de senhas comuns, como “admin”, “user” ou “1234″.

Embora o Shellshock seja uma das falhas mais graves já encontradas, ele oferece pouco perigo para o usuário comum. Em relação a computadores, apenas quem usa sistemas baseados em Unix, como Linux ou Mac OS X, deve se preocupar.

Segundo a Symantec, fabricante no Norton, várias distribuições do Linux já lançaram atualizações que corrigem a falha como CentOS (centosnow.blogspot.com/2014/), Debian (www.debian.org/security/2014/), Novel/SUSE (support.novell.com/security/), Red Hat (access.redhat.com/articles) e Ubuntu (www.ubuntu.com/usn). A Apple também disponibilizou atualizações para as versões Lion, Mountain Lion e Mavericks. Confira neste tutorial se o seu sistema está vulnerável ao bug.

Outro cuidado que os usuários precisam ter é em relação a modems, roteatores Wi-Fi ou outros periféricos que possuam interface baseada em HTML, já que existe uma chance destes equipamentos se comunicarem através do Bash. Neste caso, é recomendado entrar em contato com a fabricante para se informar se ele é vulnerável e se já existe uma correção.

“A boa notícia é que os fabricantes de alguns dos produtos mais populares afetados pela vulnerabilidade já possuem patches preparados que podem eliminar pelo menos parcialmente o problema”, aponta Jacoby.

Via Symantec e Kaspersky

Seja o primeiro a comentar

Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião deste site. Se achar algo que viole os termos de uso, denuncie. Leia as perguntas mais frequentes para saber o que é impróprio ou ilegal.

recentes

populares