Comunidade de TI abalada pelas vulnerabilidades do Shellshock
Na esteira do Heartbleed, surge uma nova forma de exposição que pode causar muito mais danos do que qualquer outra vulnerabilidade desse tipo.
CHOCADO
É conhecido como Shellshock. O Shellshock afeta implementações de Linux e UNIX que usam o interpretador de comandos BASH.
A solução para o problema é simples. Atualize sua versão do BASH para uma que não seja vulnerável. O problema está no grande número de servidores, estações de trabalho e dispositivos que apresentam esse problema.
Durante anos, devido à estabilidade, segurança inerente e fatores de custo, o Linux (e suas variantes) tem sido o sistema de backbone e de Internet mais amplamente implantado no mundo. Em outras palavras, os servidores e dispositivos específicos que executam os sites e direcionam o tráfego na Internet têm potencialmente essa vulnerabilidade. Shellshock simplesmente engana o interpretador de comandos BASH para executar comandos não autorizados quando encontra o que acredita ser uma variável.
Os patches para corrigir isso estão prontamente disponíveis, mas o número de sistemas envolvidos nesta atualização é incompreensível. Em todo o mundo, estima-se que milhões de servidores e outros equipamentos devem ser corrigidos, e isso refere-se apenas aos sistemas centrais que gerem e controlam a Internet.
Quem mais está em risco?
Além desses sistemas, vêm as estações de trabalho e os dispositivos específicos baseados em Linux.
Muitos controles de automação residencial usam uma versão do Linux, bem como eletrônicos domésticos, como decodificadores de cabo e DVD players. Cada um deles pode ser afetado pelo Shellshock, o que significa que um hacker pode causar qualquer coisa, desde interrupção de serviços até potencial infiltração em sua rede doméstica e roubo de informações pessoais.
Como se os 2 cenários anteriores não bastassem, muitos produtos Apple que rodam iOS também apresentam essa vulnerabilidade. Portanto, iPhones e iPads também não estão isentos do problema. Normalmente, você pode confiar na segurança desses dispositivos, mas desta vez é o sistema operacional subjacente que está em risco.
Felizmente, uma atualização/patch de segurança é tudo o que é necessário para proteger adequadamente contra esse problema. Mas a verdadeira questão na mente das pessoas é se encontraremos ou não alguma outra falha de segurança desenfreada no Linux ou no UNIX.
Como se proteger
Aqui na Netsurion, nossos clientes podem ter certeza de que nossos dispositivos de segurança não são suscetíveis ao Shellshock, enquanto outros firewalls são. É, portanto, fundamental consultar o seu fornecedor, caso você não use o Netsurion, para garantir que seus sistemas foram atualizados corretamente.
Assim como o Heartbleed, o Shellshock nos lembra que a segurança é um processo contínuo. Atualizações e patches fazem parte de qualquer bom programa de segurança e, quanto mais você ficar para trás no processo de atualização, mais poderá deixar seus sistemas expostos a sérias ameaças de segurança.