Os ataques do bug Shellshock são tão complicados que mesmo os melhores pesquisadores de malware têm dificuldade em descobrir. Os usuários de PC estão se perguntando a gravidade desses ataques e se eles são vulneráveis. O engenheiro de pesquisa de segurança da FireEye Inc., Michael Lin, resumiu as informações conhecidas sobre o bug do Shellshock e o que o usuário deve fazer se for afetado. Fire Eye Inc., empresa está fornecendo produtos de pesquisa e segurança, projetado para proteger o governo e as redes corporativas contra ameaças.
A Natureza do Shellshock
Shellshock é o apelido do bug do Bash, onde Bash é decifrado como Bourne Again Shell. O bug entra no interpretador de linha de comando, também conhecido como 'o escudo'. Sistemas operacionais de maio, entre os quais muitos sabores de Linux, UNIX, OSX da Apple e BSD usam o shell Bash como seu interpretador de linha de comando padrão.
Os especialistas confirmam que o shell Bash também está disponível em outros sistemas, incluindo Windows e Android, no entanto, não está instalado nestes sistemas e não é usado por padrão lá.
Após o lançamento do primeiro bug do Shellshock, nomeadamente CVE-2014-6271, outros bugs semelhantes do Bash foram detectados por diferentes pesquisadores. Comparado a eles, CVE-2014-6271 continua sendo o bug Shellshock mais significativo e todas as referências abaixo se referem a ele, salvo indicação em contrário no caso específico.
Quem pode ser afetado pelo bug Shellshock?
Os especialistas em malware dizem que todos os usuários do Bash são vulneráveis ao bug Shellshock. Eles afirmam ainda que apenas os usuários do Bash que estão conectados à Internet são os que estão abertos à exploração remota. além do que, além do mais, software específico é necessário para garantir o acesso do invasor ao Bash.
O mais vulnerável de todos e os mais visados são os sistemas que executam servidores de Internet. Mais expostos ao bug estão os usuários de PCs domésticos que têm Bash, caso eles usem redes que não são confiáveis, como pontos públicos de internet sem fio, por exemplo.
Os analistas de malware dizem que os usuários médios da Internet não são vulneráveis, se estiver executando o Windows, andróide, iOS ou Mac OS. Em caso, Contudo, existem em servidores de Internet comprometidos, esses usuários estão expostos a outros ataques.
Onde está localizado o bug Shellshock?
O bug do Shellshock está posicionado no código de análise do Bash. Os especialistas identificaram um erro em como o Bash analisa as variáveis em sua sequência de inicialização. Eles afirmam que tudo o que pode manipular as variáveis do ambiente tem potencial para ser esse vetor de vulnerabilidade.
Como o bug Shellshock torna os usuários vulneráveis?
A natureza maliciosa do bug Bash se esconde no fato de permitir que o cibercriminoso faça os mesmos comandos que o usuário real. Em outras palavras, o bug do Bush permite que o invasor faça no computador quase tudo o que o usuário pode. Mais longe, o invasor que tem acesso vetorial remoto pode injetar os comandos Bash no sistema à distância e sem necessidade de autenticação.
No início, o invasor tem acesso limitado para executar o Bash, mas uma vez no sistema, o invasor pode obter vários privilégios e, no final, obter acesso root.
Quais são os alvos do bug Shellshock?
O bug do Shellshock está atacando os servidores HTTP, os clientes DHCP, os sistemas SSC, os sistemas comuns de impressão UNIX, e os plug-ins do navegador.
Servidores HTTP
O bug do Shellshock está atacando principalmente os servidores da web HTTP. Aqueles servidores que rodam em FastCGI ou CGI são capazes de expor o Bash ao vetor de requisição de HTTP. As solicitações HTTP maliciosas permitem que os criminosos cibernéticos incorporem comandos no servidor e o Bash pode segui-los.
O Bash pode ser chamado imediatamente pelo script Bash ou por meio de um comando do sistema. Caso o Bash seja iniciado dentro dessa solicitação CGI de natureza maliciosa, então o sistema fica vulnerável.
Ao mesmo tempo, o Perl, PHP, e scripts Python que não são chamados através dos sistemas CGI/FastCGI mencionados acima provavelmente não serão afetados.
Clientes DHCP
Os clientes DHCP do Internet Systems Consortium também são alvo do bug Shellshock. Isso é válido para o sistema UNIX e Linux, mas não está afetando o sistema OSX.
O vetor é ativado quando o usuário atacado se conecta a um servidor DHCP que possui natureza maliciosa. O cliente DHCP afetado usará as variáveis do servidor DHCP e as salvará como variáveis do ambiente. Desta forma o DHCP irá configurar as interfaces de rede através do Bash. Isso pode ocorrer quando o usuário faz uma conexão com um servidor DHCP não autorizado ou um ponto Wi-Fi público.
Durante o ataque, o cibercriminoso também pode usar o vetor CGI para comprometer o serviço DHCP em um servidor legítimo.
SSH
A maioria dos sistemas SSH são configurados de forma a restringir os comandos que o usuário pode aplicar. Os invasores usam o bug do Bash aqui para ir além das restrições aplicadas. No entanto, isso requer autenticação e é por isso que esse vetor oferece escalonamento de privilégios.
Os sistemas que usam SSH, incluindo rsync, idiota, rlogin, subversão, e outros também podem ser afetados.
Sistema de impressão comum Unix (COPOS)
Um servidor de impressão, o Common UNIX Printing System está disponível em muitos UNIX, Sistemas BSD e Linux. Trabalha com variáveis que são controladas pelo usuário e com base nelas são definidas as variáveis de ambiente ao processar filtros. Pode atuar como um vetor para a vulnerabilidade, caso o Bash seja inicializado pelo Common UNIX Printing System durante este processo.
atualmente, este vetor é teórico.
Plug-ins do navegador
Também podem existir plug-ins de terceiros, que irá definir as variáveis de ambiente através de valores controlados pelos usuários. Isso pode resultar em um vetor também, no entanto, isso ainda é apenas na teoria.
