Shellshock: Vulnerabilidade no Bash é explorada por cibercriminosos

As brechas no GNU Bash descobertas nesta última quarta-feira ainda estão causando estragos, após as primeiras correções liberadas não terem surtido efeito (pegue os comunicados do Debian e da Red Hat, liberados no começo da quinta-feira, como exemplos). De acordo com a agência Reuters, especialistas em segurança já detectaram ataques lançados por cibercriminosos se aproveitando as vulnerabilidades, que foram batizadas informalmente de Shellshock.

O bug permite a execução de códigos remotamente no interpretador de comandos, presente em sistemas baseados em UNIX (como o OS X) e no Linux, assim que ele é aberto. O software de servidores web Apache, por exemplo, roda em sistemas do tipo, que também estão envolvidos em aparelhos conectados à internet, como roteadores e câmeras IP de monitoramento.

O número de alvos possíveis é gigantesco, como estimou o especialista em segurança Robert Graham após uma varredura rápida. O processo executado por ele incluiu apenas a porta 80 dessas máquinas e acabou interrompido logo no começo – mas foi suficiente para revelar pelo menos 3.000 servidores expostos pela web. O site Ars Technica, por sua vez, encontrou mais de um bilhão de páginas em situação similar a partir de uma busca mais refinada no Google.

Nesses casos, um dos problemas está no fato de que os Apache utilizam o Bash para executar scripts CGI, por exemplo. Como esses servidores web funcionam como base para mais da metade do bilhão de sites ativos existentes na internet (na contagem do NetCraft), dá para ter uma ideia do tamanho do problema, como notou o arquiteto de software Troy Hunt em seu blog.

Como destacaram o Ars Technica e Graham, a brecha pode ser aproveitada para espalhar worms e malware no geral, que seriam capazes de “burlar firewalls e infectar muitos sistemas”. A operadora de rede CloudFlare, por exemplo, disse ao The Verge já ter detectado e bloqueado ataques do tipo, além de outros que tentavam roubar senhas, obter acesso remoto e até abrir e fechar a gaveta de um drive de CDs. A provedora de soluções de segurança BlueCoat disse ao Ars que notou tentativas similares, envolvendo inclusive o uso de botnets – também detectadas pela Akamai.

Ainda assim, como o Bash é usado em aplicações tão diferentes – e até de forma inesperada – é quase impossível precisar o quão espalhado está o problema. “Este é provavelmente um dos bugs mais difíceis de mensurar em anos”, disse à Reuters outro especialista, Dan Kaminsky. “Há muita especulação sobre o que é vulnerável, mas ainda não temos as respostas”, afirmou, também à agência, Marc Maiffret, da BeyondTrust.

Por ora, novas atualizações ainda devem ser liberadas por empresas responsáveis pelas distribuições de Linux – como a Red Hat vem fazendo, por exemplo. No caso dos Macs, um update deve ser liberado em breve pela Apple (que inclusive disse que poucos de seus usuários devem ser afetados), mas frequentadores do StackExchange parecem ter descoberto formas de recompilar o Bash de forma a eliminar a falha.

* Com informações da agência Reuters