ShellShock - Porque tanta preocupação ?


Estes últimos meses estão se mostrando de muito trabalho para os profissionais de Segurança da Informação. Começamos com a vulnerabilidade do Heartblead, em abril, e foi considerada uma das vulnerabilidades mais devastadoras e preocupantes pelos especialistas em Segurança pois afetava a maior parte dos servidores da web.

Agora, no mês de setembro, fomos apresentados à vulnerabilidade do Bash(CVE-2014-6271) ou como esta sendo chamado agora ao Shellshock, uma vulnerabilidade encontrada em um programa presente na grande maioria dos sistemas UNIX e seus dericados, o bash é um programa interpretador de comandos e um dos mais usados pelos administradores de rede, além de estarem presentes em outros sistemas como os Mac OS X, também derivados do UNIX, além de aplicações que podem rodar em sistemas windows como o Cygwin.

Bem e o que este pequeno programa tem de tão perigoso para ser esta a vulnerabilidade considerada ainda mais preocupantes que a do Heartblead ?

Bom, acontece que com esta vulnerabilidade é possível passar para o computador que esteja executando um serviço ou aplicação alguns parâmetros ou valores que podem ser executados, e estes serão executados com os privilégios dos usuários lendo as variáveis, que pode neste caso se executado pelo "root" o usuário com o maior nível de privilégios em um sistema UNIX.

Então vamos começar a falar um pouco sobre esta vulnerabilidade. Depois de termos entendido o que é o bash e onde ele esta e como é usado, vamos passar a falar um pouco sobre os impactos esperados. Vamos  lá, vamos entender primeiro que o bash, como interpretador de comando é usado para executar comando não só pelos usuários, mas também pelo próprio sistema, e para reduzir a explicação vamos nos focar nos scripts de CGI, um pequeno programa que é executado por servidores web, servidores de páginas na Internet. 

Aqui cabe um pequeno comentário, para aqueles que escolheram o Debian ou o Ubuntu como distribuições de uso do Linux, estes podem ficar um pouco mais tranquilos pois estes sistemas usam como interpretador de comando o DASH, que não esta vulnerável mas, isso não quer dizer que estes administradores de sistemas possam ficar de braços cruzados, devem sim atualizar os seus sistemas, pois em alguns casos há um link de comandos /bin/sh direto para o /bin/bash, trazendo de volta o problema da vulnerabilidade ao sistema. 

Bom, voltando ao CGI. Imagina que a página que você esta acessando possui um script CGI, sabendo disso, o atacante pode criar um comando especial para ser passado ao CGI, e através da vulnerabilidade será executado pelo bash, abaixo da página. Estes comando podem ser desde de mostrar informações do sistema, como também a abertura de uma conexão para uma máquina externa do atacante, abrindo um canal de comunicação diretamente com o servidor, e consequentemente com a estrutura de servidores da empresa.

Como exemplo, uma das primeiras coisas que aconteceram logo após a descoberta desta vulnerabilidade foi a criação de um enorme botnet que passou a atacar os sistemas protegidos pela empresa Akamai e os sistemas do Departamento de Defesa Americano, levando o nível de alerta nestes sistemas para os mais elevados.

Com este artigo não temos a intenção de descrever tecnicamente o que tem acontecido e o que acontece com a vulnerabilidade, temos sim a intenção de alertar técnicos e usuários normais de sistemas domésticos que podem sim serem alvos de ataques. Desta forma, vamos verificar algumas coisas antes de passarmos para as dicas de correção.

Primeiro, para termos que executar as correções, temos que saber se nossos sistemas estão afetados, e para isso os comandos são bem simples e podem ser executados por qualquer pessoa, seguem abaixo alguns comando que podem ser executados.

No seu terminal, digite o seguinte comando:

env x='() { :;}; echo vulneravel' bash -c "echo Isso eh um  teste"

Se al executar este comando você receber o resultado como "vulneravel" você deve partir para a atualização do seu sistema, caso contrário, tudo bem, aparentemente seu sistema esta fora de perigo.

Bom, mas e se estiver vulnerável, como corrigir ? Bom, abaixo vou listar 3 formas de atualizar o seus sistema, basicamente deve funcionar em todas as distribuições Linux, caso não funcione, veja a documentação de atualização de seus sistema.

Para os que usam o yum como sistema de controle de instalações e atualizações:

yum update bash -y

Para quem usa Ubuntu:

apt-get update; apt-get install --only-upgrade bash

E a última quem quem utilizar o Arch Linux:

pacman -Syu

Como pode ser visto nada muito complicado, comandos que podem e são executados rotineiramente por administradores de rede e que facilmente podem ser executados por qualquer usuário.

Se no caso você quiser atualizar seu sistema MAC OS, pode acessar o link para cada um dos sistemas da maçã, de acordo com a sua versão. Desta forma se seu sistema já esta usando o Mavericks, pode acessar o link neste endereço. da mesma forma isso pode ser feito para os sistemas Mountain Lion e Lion.

Bom, como pode ser visto, as correções que podem ser feitas são fáceis e nada complicadas, agora nada de desculpas, mãos na massa e atualização nos sistemas.

Nenhum comentário :

Postar um comentário

Gostaria de saber a sua opinião.