Autor: Tim Greene

O bug Shellshock/Bash, descoberto na ultima semana, pode fazer com que servidores Linux ou Unix comprometidos atuem como bots e, dependendo do tipo de privilégios que eles tiverem na rede corporativa, permitir que os atacantes façam estragos maiores.

Portanto, a primeira medida a ser tomada pelos profissionais de segurança da informação é aplicar as correções o mais rápido possível em máquinas centrais ou mais importantes. E, ao mesmo tempo, levantar mais barreiras externas de defesa em torno de servidores que possuam a vulnerabilidade, para bloquear ataques antes que eles atinjam essas máquinas, alertam os especialistas.

Proteção

Barreiras externas de defesa podem incluir criar novas regras que englobem especificamente o comportamento do Shellshock, para aplicar em firewalls de aplicações web e dispositivos de alerta contra intrusos de rede, diz Jeff Schilling, CSO do provedor de segurança de nuvem Firehost, que também é ex-diretor do Centro de Operações de Segurança do Exército Americano.

O shell Bash é um processador de comandos, o que quer dizer que ele recebe ordens de uma linha de comando ou de uma aplicação e as executa. A vulnerabilidade permite que os atacantes enviem comandos maliciosos ao Bash que passa a executá-los. Para fazer isso eles precisam ter acesso à máquina, usualmente através de outras brechas ou falhas de segurança.

Ao tirar proveito da vulnerabilidade o atacante não consegue aumentar seus privilégios de usuário nas máquinas comprometidas, o que é boa notícia pois reduz significativamente os riscos que o Shellshock apresenta, diz Schilling. Ele classifica a severidade do problema com nota 5, dentro de uma escala de zero a dez. O Heartbleed, segundo ele, foi classificado como oito ou nove na mesma escala.

Identificando o problema

Os departamentos de TI corporativa devem aplicar todas as correções que estiverem disponíveis através dos fornecedores dos diferentes sistemas operacionais, diz o especialista. Não será tarefa fácil, porque dependendo do número de máquinas afetadas isso pode levar meses.

Para começar, os especialistas em segurança precisam identificar as máquinas que estão afetadas e monitorá-las para verificar atividade suspeita. Para explorar a vulnerabilidade, os atacantes precisam acessar as máquinas, o que geralmente é feito usando outras fraquezas de segurança.

Pode ser feito, por exemplo, por meio de credenciais comprometidas. As equipes de segurança precisam monitorar os logs e dedicar atenção especial aos usuários que entraram nessas máquinas e o que tentaram fazer após o log in, diz Trey Ford, estrategista de segurança global da Rapid 7. Muitas credenciais de usuários poderão ser mudadas.

Explorar a vulnerabilidade é muito fácil depois que você entra na máquina, garante Ford. Os servidores mais prováveis de serem atacados são aqueles conectados à internet, rodando Linux e usando o shell Bash Unix. Muitos dos servidores que se encaixam no descritivo de Ford estão na chamada zona DMZ (que em segurança digital define uma zona desmilitarizada, algumas vezes também chamada de rede de perímetro, que é uma subnetwork lógica ou física que contém e expõe serviços corporativos voltados para o exterior de uma rede maior e não certificada.

Para cobrir todos os riscos, é preciso ver que outros dispositivos estão na mesma network que o servidor comprometido. Essas máquinas que estão conectadas à internet devem ser protegidas e corrigidas primeiro, e em seguida é necessário corrigir aquelas que têm mais impacto nas funções normais das linhas de negócio, diz Ford.

Fonte: COMPUTERWORLD