DEFINIÇÃO DO VÍRUS
Tipo de vírus: vírus/bug/malware
Também chamado de: CVE-2014-6271
O que é o vírus “Bash” Bug?
O "bash bug", também conhecido como vulnerabilidade Shellshock, representa uma grande ameaça a todos os usuários. A ameaça explora o software do sistema Bash, comum em sistemas Linux e Mac OS X, para permitir que os invasores assumam o controle de dispositivos eletrônicos. O invasor pode simplesmente executar comandos no sistema com os mesmos privilégios dos serviços afetados. A falha permite ao invasor anexar remotamente um executável malicioso a uma variável que é executada assim que o Bash é chamado.
Na maioria dos exemplos descritos na Internet hoje, os invasores atacam remotamente servidores Web que hospedam scripts CGI escritos em bash.
No momento da criação, a vulnerabilidade já foi usada para fins maliciosos, infectando servidores Web vulneráveis com malware e também em ataques de hackers. Nossos pesquisadores estão sempre coletando novas amostras e indicações de infecções baseadas nessa vulnerabilidade. Logo publicaremos mais informações sobre esse malware.
A vulnerabilidade reside no intérprete shell do bash e possibilita ao invasor acrescentar comandos do sistema às variáveis do ambiente bash.
Como o “Bash” Bug funciona
Quando você tem um script CGI em um servidor Web, esse script lê determinadas variáveis do ambiente automaticamente, como seu endereço IP, a versão do navegador e informações do sistema local.
Mas imagine que você, além de passar essas informações normais do sistema para o script CGI, também pudesse instruir o script para executar comandos do sistema. Desse modo, sem precisar ter qualquer credencial do servidor Web, assim que você acessasse o script CGI, ele leria as variáveis do seu ambiente. E, se essas variáveis contivessem a cadeia de caracteres da exploit, o script ainda executaria o comando que você especificou.
O que torna o bash bug único
- Ele é muito fácil de explorar
- O impacto do vírus de bash é muito severo
- Ele afeta todo tipo de software que usa o intérprete de bash
Os pesquisadores também estão tentando descobrir se outros intérpretes, como PHP, JSP, Python ou Perl, são afetados. Dependendo de como o código é escrito, às vezes, um intérprete usa o bash para executar certas funções. Se for esse o caso, outros intérpretes também poderão ser usados para explorar a vulnerabilidade CVE-2014-6271.
Os pesquisadores também estão tentando descobrir se outros intérpretes, como PHP, JSP, Python ou Perl, são afetados. Dependendo de como o código é escrito, às vezes, um intérprete usa o bash para executar certas funções. Se for esse o caso, outros intérpretes também poderão ser usados para explorar a vulnerabilidade CVE-2014-6271.
O impacto é incrivelmente grande, pois há diversos dispositivos incorporados que usam scripts CGI. Por exemplo, roteadores, aparelhos domésticos e pontos de acesso sem fio. Eles também são vulneráveis e, em muitos casos, difíceis de corrigir.
Como saber se o seu dispositivo foi infectado
A maneira mais fácil de saber se o seu sistema está vulnerável é abrindo um bash-shell no sistema e executando o seguinte comando:
Se o shell retornar a cadeia de caracteres "vulnerable", atualize o sistema.
A Red Hat inclui links para um procedimento de diagnóstico com o qual os usuários podem testar versões vulneráveis do Bash – acesse https://access.redhat.com/articles/1200223
Outra forma de saber se você foi infectado pelo vírus Bash é analisando se há algo suspeito nos logs do HTTP. Veja a seguir um exemplo de padrão malicioso:
Também existem correções do bash que registram todos os comandos passados para o intérprete de bash. É uma boa maneira de saber se alguém explorou sua máquina. Isso não impede que alguém explore essa vulnerabilidade, mas registra as ações do invasor no sistema.
Como impedir a ação do vírus “Bash” Bug
A primeira coisa a fazer é atualizar a versão do bash. Muitos distribuidores do Linux oferecem correções para essa vulnerabilidade e, embora nem todas tenham eficácia comprovada ainda, é preciso aplicar as correções.
Se você usa um IDS/IPS, adicione/carregue a assinatura correspondente. Há muitas regras públicas disponíveis.
Confira também a configuração do servidor Web. Se houver scripts CGI não utilizados, desabilite-os.
Outros artigos e links relacionados ao vírus "Bash" Bug
- O ransomware Onion (cavalo de Troia de criptografia)
- Cavalo de Troia direcionado a bancos Shylock
- Ameaças à segurança do Mac
- Kaspersky Anti-Virus for Linux File Server
- Kaspersky Endpoint Security for Linux
- Kaspersky Security for Linux Mail Server
- Kaspersky Premium
- Kaspersky Internet Security
- Kaspersky Anti-Virus
- Kaspersky Internet Security for Mac
