Shellshock: Ataques por falhas no Bash passam dos 200 mil
Monitoramento foi feito pela Incapsula e envolveu apenas o Firewall de aplicações web da marca; número é, provavelmente, muito maior e pode chegar a 1 bilhão
Da Redação
Publicado em 30 de setembro de 2014 às 18h14.
A empresa de segurança Incapsula afirmou, nesta última segunda-feira, que já detectou e bloqueou mais de 200 mil tentativas de ataque que se aproveitariam das vulnerabilidades no GNU Bash. Descobertas na última semana e apelidadas de Shellshock, as brechas permitem a execução remota de códigos no momento em que o interpretador de comandos padrão no Linux e em sistemas baseados em UNIX é aberto pelo usuário ou por alguma aplicação.
O monitoramento feito pela companhia começou no último dia 25 e em apenas quatro dias o total de ataques, que miravam 4.115 domínios diferentes, bateu a marca dos 217 mil. Durante este período, o ritmo deles quase dobrou, chegando a mais de 1.970 por hora, escreveu Ofer Grayer, pesquisador e especialista em segurança da empresa. Até agora, nosso sistema já registrou ataques baseados no Shellshock vindos de mais de 890 IPs pelo mundo.
A maior parte dos bloqueios (68,27%) envolveu varreduras feitas por cibercriminosos, que pretendiam verificar a existência da brecha em diferentes servidores e domínios. Tentativas para estabelecer o acesso remoto representaram 18,37% das ameaças detectadas, enquanto 12,64% dos ataques bloqueados foram injeções de malware de DDoS, que pretendiam transformar o alvo em parte de uma botnet.
Quase 20% dos ataques vieram, aparentemente, dos Estados Unidos, enquanto pouco mais de 10% saíram da China. O Brasil, aliás, aparece em terceiro lugar nesta lista de fontes: daqui partiram 3,57% das tentativas de exploração das brechas no Bash.
Vale notar que o total de bloqueios relatado pela Incapsula engloba, obviamente, apenas os feitos pelo Firewall de aplicações web distribuído pela empresa. Ou seja, é bem provável que o número até agora seja bem maior chegando, talvez, à casa do 1 bilhão, como estimou o site SecurityWeek.
Correções e prevenção O termo Shellshock se referia, inicialmente, a apenas uma vulnerabilidade no Bash. Mas do dia 24 de setembro para cá, pelo menos outras cinco foram descobertas e cadastradas no National Vulnerability Database incluindo uma registrada ainda nesta terça-feira. A lista completa você confere aqui (desconsidere o último item dos resultados desta busca).
Empresas e organizações responsáveis por distribuições de Linux e sistemas baseados em UNIX já liberaram correções pelo menos para as cinco primeiras brechas. A Apple, uma das últimas a fazer isso, disponibilizou nesta última segunda-feira patches para os OS X Lion, Mountain Lion e Mavericks. Mas como eles resolvem apenas duas das falhas ( CVE-2014-6271 e CVE-2014-7169 ), é provável que outros ainda sejam liberados. Aliás, no Yosemite, que está em fase de testes, o Bash deve ser atualizado em update maior do sistema mesmo.
As correções, no entanto, não são as únicas formas de evitar ataques que exploram o Shellshock. Firewalls de aplicações e filtros de rede podem ser configurados para "bloquear pedidos que contenham a assinatura do ataque", como destacou o site Ars Technica.