Tipo de vírus: vírus/bug/malware
Também chamado de: CVE-2014-6271
O "bash bug", também conhecido como vulnerabilidade Shellshock, representa uma grande ameaça a todos os usuários. A ameaça explora o software do sistema Bash, comum em sistemas Linux e Mac OS X, para permitir que os invasores assumam o controle de dispositivos eletrônicos. O invasor pode simplesmente executar comandos no sistema com os mesmos privilégios dos serviços afetados. A falha permite ao invasor anexar remotamente um executável malicioso a uma variável que é executada assim que o Bash é chamado.
Na maioria dos exemplos descritos na Internet hoje, os invasores atacam remotamente servidores Web que hospedam scripts CGI escritos em bash.
No momento da criação, a vulnerabilidade já foi usada para fins maliciosos, infectando servidores Web vulneráveis com malware e também em ataques de hackers. Nossos pesquisadores estão sempre coletando novas amostras e indicações de infecções baseadas nessa vulnerabilidade. Logo publicaremos mais informações sobre esse malware.
A vulnerabilidade reside no intérprete shell do bash e possibilita ao invasor acrescentar comandos do sistema às variáveis do ambiente bash.
Quando você tem um script CGI em um servidor Web, esse script lê determinadas variáveis do ambiente automaticamente, como seu endereço IP, a versão do navegador e informações do sistema local.
Mas imagine que você, além de passar essas informações normais do sistema para o script CGI, também pudesse instruir o script para executar comandos do sistema. Desse modo, sem precisar ter qualquer credencial do servidor Web, assim que você acessasse o script CGI, ele leria as variáveis do seu ambiente. E, se essas variáveis contivessem a cadeia de caracteres da exploit, o script ainda executaria o comando que você especificou.
O que torna o bash bug único
Os pesquisadores também estão tentando descobrir se outros intérpretes, como PHP, JSP, Python ou Perl, são afetados. Dependendo de como o código é escrito, às vezes, um intérprete usa o bash para executar certas funções. Se for esse o caso, outros intérpretes também poderão ser usados para explorar a vulnerabilidade CVE-2014-6271.
Os pesquisadores também estão tentando descobrir se outros intérpretes, como PHP, JSP, Python ou Perl, são afetados. Dependendo de como o código é escrito, às vezes, um intérprete usa o bash para executar certas funções. Se for esse o caso, outros intérpretes também poderão ser usados para explorar a vulnerabilidade CVE-2014-6271.
O impacto é incrivelmente grande, pois há diversos dispositivos incorporados que usam scripts CGI. Por exemplo, roteadores, aparelhos domésticos e pontos de acesso sem fio. Eles também são vulneráveis e, em muitos casos, difíceis de corrigir.
A maneira mais fácil de saber se o seu sistema está vulnerável é abrindo um bash-shell no sistema e executando o seguinte comando:
Se o shell retornar a cadeia de caracteres "vulnerable", atualize o sistema.
A Red Hat inclui links para um procedimento de diagnóstico com o qual os usuários podem testar versões vulneráveis do Bash – acesse https://access.redhat.com/articles/1200223
Outra forma de saber se você foi infectado pelo vírus Bash é analisando se há algo suspeito nos logs do HTTP. Veja a seguir um exemplo de padrão malicioso:
Também existem correções do bash que registram todos os comandos passados para o intérprete de bash. É uma boa maneira de saber se alguém explorou sua máquina. Isso não impede que alguém explore essa vulnerabilidade, mas registra as ações do invasor no sistema.
A primeira coisa a fazer é atualizar a versão do bash. Muitos distribuidores do Linux oferecem correções para essa vulnerabilidade e, embora nem todas tenham eficácia comprovada ainda, é preciso aplicar as correções.
Se você usa um IDS/IPS, adicione/carregue a assinatura correspondente. Há muitas regras públicas disponíveis.
Confira também a configuração do servidor Web. Se houver scripts CGI não utilizados, desabilite-os.
Outros artigos e links relacionados ao vírus "Bash" Bug