Shellshock: Hora de atualizar seu Linux, OS X ou outro *NIX

Recentemente um bug sério e antigo da shell (interpretador de comandos) Bash, largamente utilizada em distribuições Linux e no OS X (sistema operacional da Apple), foi divulgado. Especialistas garantem que milhões de usuários já estão em franca situação de insegurança e correm sério risco de terem seus dados violados a partir de servidores na Internet (especialmente os movidos a Linux) ou até mesmo seus desktops invadidos. Aliás, não são apenas os servidores na Internet que estão desprotegidos – basicamente qualquer equipamento que contenha o pacote Bash instalado está inseguro.

Mesmo que você seja um simples usuário Windows, por exemplo, pode ser afetado indiretamente. O assunto vem tomando tanta atenção que até mesmo o Bom Dia Brasil da TV Globo fez ontem uma matéria especial sobre o problema (desconsidere alguns erros conceituais básicos na fala dos repórteres – a começar pelo fato de que não se trata de um vírus de computador).

Ainda de acordo com o Br-Linux.org,

Se o seu computador roda o shell Bash e não foi atualizado nos últimos dias, ele está vulnerável ao Shellshock, uma falha grave – e praticamente todos os computadores desktop e servidor com Linux e com OS X, além de aparelhos como roteadores e até eletrodomésticos conectados à Internet rodam esse software.

O bug começou a ser comentado em larga escala ontem, e aparentemente foi descoberto na semana passada. Mas ele está presente nas versões do Bash dos últimos 20 e poucos anos (exceto as atualizações posteriores à descoberta, embora elas ainda estejam sendo auditadas), então é possível que alguém já o conhecesse e fizesse uso dele, silenciosamente, há muito tempo.

Para verificar se o seu Bash está vulnerável, você pode emitir o seguinte comando:

env x='() { :;}; echo vulneravel' bash -c 'false'

Se a palavra “vulneravel” for impressa na tela, você saberá que está.

Com o bug, é possível injetar comandos para execução pelo computador, mesmo no caso de usuários sem acesso direto à shell: é possível fazer isso alterando os cabeçalhos de uma conexão a um servidor web, por exemplo, ou por meio do protocolo de monitoramento SNMP, ou ainda pela autenticação de sessões SSH, entre outros vetores de ataque já identificados.

Injetando comandos, é possível controlar um computador remotamente, seja movendo para pastas públicas arquivos que deveriam ser privados, alterando configurações, forçando o download de arquivos remotos que contenham malware, e muitas outras atividades. É bem o tipo de vulnerabilidade que se presta à distribuição automática de malware, ou seja, worms, redes zumbis, etc. – e, como este é particularmente fácil de explorar, seria possível criar uma em larga escala, até porque muitos computadores conectados à web não terão seu upgrade do Bash realizado imediatamente.

Portanto, se você ou sua empresa possui servidores ou equipamentos no perfil vulnerável, faça imediatamente a atualização do respectivo pacote. Já existem pacotes de correção para as principais distribuições Linux e também para OS X.