Bash Bug | OS X, UNIX, Linux, ameaça de vírus

DEFINIÇÃO DO VÍRUS

Tipo de vírus: vírus/bug/malware
Também chamado de: CVE-2014-6271

O que é o vírus “Bash” Bug?

O "bash bug", também conhecido como vulnerabilidade Shellshock, representa uma grande ameaça a todos os usuários. A ameaça explora o software do sistema Bash, comum em sistemas Linux e Mac OS X, para permitir que os invasores assumam o controle de dispositivos eletrônicos. O invasor pode simplesmente executar comandos no sistema com os mesmos privilégios dos serviços afetados. A falha permite ao invasor anexar remotamente um executável malicioso a uma variável que é executada assim que o Bash é chamado.

Na maioria dos exemplos descritos na Internet hoje, os invasores atacam remotamente servidores Web que hospedam scripts CGI escritos em bash.

No momento da criação, a vulnerabilidade já foi usada para fins maliciosos, infectando servidores Web vulneráveis com malware e também em ataques de hackers. Nossos pesquisadores estão sempre coletando novas amostras e indicações de infecções baseadas nessa vulnerabilidade. Logo publicaremos mais informações sobre esse malware.

A vulnerabilidade reside no intérprete shell do bash e possibilita ao invasor acrescentar comandos do sistema às variáveis do ambiente bash.

Como o “Bash” Bug funciona

Quando você tem um script CGI em um servidor Web, esse script lê determinadas variáveis do ambiente automaticamente, como seu endereço IP, a versão do navegador e informações do sistema local.

Mas imagine que você, além de passar essas informações normais do sistema para o script CGI, também pudesse instruir o script para executar comandos do sistema. Desse modo, sem precisar ter qualquer credencial do servidor Web, assim que você acessasse o script CGI, ele leria as variáveis do seu ambiente. E, se essas variáveis contivessem a cadeia de caracteres da exploit, o script ainda executaria o comando que você especificou.

O que torna o bash bug único

1. Ele é muito fácil de explorar
2. O impacto do vírus de bash é muito severo
3. Ele afeta todo tipo de software que usa o intérprete de bash

Os pesquisadores também estão tentando descobrir se outros intérpretes, como PHP, JSP, Python ou Perl, são afetados. Dependendo de como o código é escrito, às vezes, um intérprete usa o bash para executar certas funções. Se for esse o caso, outros intérpretes também poderão ser usados para explorar a vulnerabilidade CVE-2014-6271.

Os pesquisadores também estão tentando descobrir se outros intérpretes, como PHP, JSP, Python ou Perl, são afetados. Dependendo de como o código é escrito, às vezes, um intérprete usa o bash para executar certas funções. Se for esse o caso, outros intérpretes também poderão ser usados para explorar a vulnerabilidade CVE-2014-6271.

O impacto é incrivelmente grande, pois há diversos dispositivos incorporados que usam scripts CGI. Por exemplo, roteadores, aparelhos domésticos e pontos de acesso sem fio. Eles também são vulneráveis e, em muitos casos, difíceis de corrigir.

Como saber se o seu dispositivo foi infectado

A maneira mais fácil de saber se o seu sistema está vulnerável é abrindo um bash-shell no sistema e executando o seguinte comando:

Se o shell retornar a cadeia de caracteres "vulnerable", atualize o sistema.

A Red Hat inclui links para um procedimento de diagnóstico com o qual os usuários podem testar versões vulneráveis do Bash – acesse https://access.redhat.com/articles/1200223

Outra forma de saber se você foi infectado pelo vírus Bash é analisando se há algo suspeito nos logs do HTTP. Veja a seguir um exemplo de padrão malicioso:

Também existem correções do bash que registram todos os comandos passados para o intérprete de bash. É uma boa maneira de saber se alguém explorou sua máquina. Isso não impede que alguém explore essa vulnerabilidade, mas registra as ações do invasor no sistema.

Como impedir a ação do vírus “Bash” Bug

A primeira coisa a fazer é atualizar a versão do bash. Muitos distribuidores do Linux oferecem correções para essa vulnerabilidade e, embora nem todas tenham eficácia comprovada ainda, é preciso aplicar as correções.

Se você usa um IDS/IPS, adicione/carregue a assinatura correspondente. Há muitas regras públicas disponíveis.

Confira também a configuração do servidor Web. Se houver scripts CGI não utilizados, desabilite-os.

Outros artigos e links relacionados ao vírus "Bash" Bug

• O ransomware Onion (cavalo de Troia de criptografia)
• Cavalo de Troia direcionado a bancos Shylock
• Ameaças à segurança do Mac
• Kaspersky Anti-Virus for Linux File Server
• Kaspersky Endpoint Security for Linux
• Kaspersky Security for Linux Mail Server
• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Anti-Virus
• Kaspersky Internet Security for Mac