A falha no Bash “Shellshock” (CVE-2014-6271), que foi descoberta na semana passada pelo especialista em Unix/Linux Stephane Chazelas, e sua existência foi tornada pública na quarta-feira, é um problema que atinge o Bash, que como a maioria sabe, é o interpretador de comandos presente em muitos sistemas, Unix e em outras plataformas baseadas nele, o que inclui várias distribuições Linux e sistema Apple OS X. Essa falha descoberta, pode ser explorada por atacantes que procuram substituir ou dar um bypass nas restrições do sistema, com a finalidade de executar código malicioso.

A falha é considerada crítica, por muitas razões. Por um lado, o número de dispositivos afetados é enorme: basta pensar em todos os servidores Web (incluindo servidores Apache) e dispositivos embarcados (routers, dentre outros) rodando em Linux, Macs. O número poderia muito bem ser contabilizado em centenas de milhares. Em segundo lugar, os EUA-CERT e NIST deram a pontuação máxima (10,0) no score do CVSS – Common Vulnerability Scoring System – tanto para o impacto causado pela falha quanto para a sua capacidade de exploração. A exploração da falha pode levar à divulgação não autorizada de informações, ao acesso não autorizado ao sistema e sujeitar à modificação, além de interrupção do serviço. Portanto, o processo de exploração é extremamente curto e simples: leva apenas algumas linhas de código.

De acordo com o engenheiro de segurança da CloudFlare, Ryan Lackey, a falha já está sendo explorada na natureza manualmente, e é apenas uma questão de tempo até que alguém crie um worm e automatize o ataque, disseminando o mesmo através de sistemas vulneráveis.

De acordo com muitas projeções que foram feitas por especialistas em sgeurança da informação no mundo inteiro, “Shellshock” poderia atingir meio milhão de equipamentos em todo o mundo, incluindo computadores, servidores, e outros eletrônicos em geral. Isso foi o suficiente para deixar o setor de segurança bastante proecupado e em estado de alerta. “Shellshock”, foi encontrado em um componente de software conhecido como Bash, presente na maioria de sistemas Unix, Linux e no OS X, bem como em roteadores e modems domésticos.

Para quem não o conhece, Bash, ou Bourne Again Shell, é um tipo de linguagem desenvolvida pelo projeto GNU ainda no ano de 1998 e funciona como um interpretador de comandos (um tradutor entre o sistema operacional e o usuário). Ele também está presente em um grande número de servidores Web, como já foi mencionado anteriormente, incluindo roteadores e modems domésticos. De acordo com declarações feitas por Brian Donohue, daa equipe de segurança da Kapersky Lab, essa vulnerabilidade está por aí há algum tempo, talvez por mais de 20 anos. Da mesma forma que aconteceu em relação ao Heartbleed, todos devem torcer para que Chazelas tenha sido a primeira pessoa a encontrar o bug, mas provavelmente jamais haverá uma certeza quanto a isso. Lembrando que o executivo Stephane Chazelas, da Akamai, foi quem primeiro descobriu a existência do “Shellshock”.

De acordo com a Kapersky Lab, um grande problema desse bug recém-descoberto é que ele é muito mais simples de ser usado por um cybercriminoso do que o Heartbleed, pois a praga recente já chegou a facilitar 300 mil ataques por dia. “No caso do Heartbleed, um cibercriminoso só poderia roubar dados da memória, esperando encontrar algo útil. A vulnerabilidade existente no Bash, faz com que o controle total do sistema ganhe maiores probabilidades de ocorrer. Pesquisadores ouvidos pela BBC, sugerem que algo perto de 500 mil equipamentos possam ser explorados. A Wired diz que não se trata de um simples trojan com funcionalidades para desencadear ataques DDoS, mas um backdoor que pode ser transformado em um worm, ou seja, um vírus de computador que já carrega seu próprio programa e não precisa de outro para a sua infiltração.

De acordo com outros noticiários de tecnologia ao redor do mundo, como foi destacado pela Ars Technica e pelo especialista Robert Graham, a brecha pode ser aproveitada para espalhar worms e malware no geral, que seriam capazes de dar bypass em firewalls e infectar muitos sistemas. A operadora de rede CloudFlare, por exemplo, disse em entrevista ao The Verge, já ter detectado e bloqueado ataques do tipo, além de outras investidas que tentavam roubar senhas, obter acesso remoto e até abrir e fechar a gaveta de um drive de CDs. A provedora de soluções de segurança BlueCoat disse ao Ars que notou tentativas similares, envolvendo inclusive o uso de botnets – também detectadas pela Akamai.

Com informações de Under-Linux e Net-Security.