No campo da segurança da informação, 2014 será lembrado sem dúvida por, ao menos, duas vulnerabilidades, Heartbleed e Shellshock, que afetaram grande parte da infraestrutura e dos usuários da Internet. Infelizmente, muitos sistemas ainda são vulneráveis, embora a maioria dos administradores tenha usado correções logo que possível para resolver os problemas causados há um ano quando se conheceu o Heartbleed e há sete meses com o surgimento do Shellshock.
O Websense Security Labs descobriu, através de um de seus honeypots, um worm simples e agressivo que está circulando e é capaz de explorar a vulnerabilidade do Shellshock para fins de reconhecimento. Hoje, acredita-se que os atacantes estejam apenas mapeando os servidores vulneráveis, no que poderia ser interpretado como uma prévia para um ataque maior e mais destrutivo. O reconhecimento é o primeiro passo na cadeia de ataques cibernéticos e se interrompemos um ataque nessa etapa, eliminamos os riscos de potenciais danos.
Os clientes da Websense estão protegidos desta ameaça com o ACE, o Motor de Classificação Avançada, na 5a Etapa (Arquivos Dropper). O ACE identifica arquivos associados a esse tipo de ataque.
O worm
Tentativa Fracassada de Exploração
O worm aproveita a vulnerabilidade do Shellshock para ter acesso ao sistema. Quando a tentativa é bem sucedida, o sistema baixa e executa um shell script para processar e extrair o tarball (.tar) que contém o worm. O worm é propagado logo depois.
O shell é executado somente quando a tentativa é bem sucedida.
Este worm tem versões para sistemas de 32 bits e 64 bits e os atacantes usam a língua romena em diferentes partes do código binário, o que aponta para a possibilidade de o malware ser de origem romena. Foi projetado para enviar uma lista de IPs ao Servidor de Comando e Controle (C&C) predefinido no código, de modo que este possa tentar explorar também a vulnerabilidade do Shellshock nos hosts.
O principal shell script do worm, o “config,” é responsável por obter uma listagem de IPs, iniciar o scanner e logo acionar outro script para enviar o resultado de volta para o servidor de C&C.
O worm parece ter como objetivo subjacente o reconhecimento de uma grande quantidade de IPs com possível vulnerabilidade ao Shellshock. Além disso, uma vez que os atacantes tenham acesso a estes sistemas através do Shellshock (supondo que os administradores de sistemas não tenham aplicado um patch neste lapso de tempo), podem lançar outros ataques a qualquer momento. Eles podem se aproveitar dos hosts para diversas atividades maliciosas, incluindo, entre outros, ataques DDoS, a inserção de códigos maliciosos em websites, o roubo de informações de identificação pessoal e credenciais ou usar o host como servidor de C&C para variados ataques.
Conclusão
Trata-se de um worm muito simples, possivelmente desenvolvido por amadores. Entretanto, cabe mencionar que ele segue com sucesso após sete meses depois da descoberta do Shellshock. É possível que este worm esteja infectando grande número de hosts ainda vulneráveis ao Shellshock? Os atacantes têm tempo e, uma vez mais, usam vulnerabilidades mais antigas para explorar sistemas, o que parece ser o caso. Se não se aplicam patches para as correções e não os mantêm atualizados, os atacantes não vão precisar de ameaças avançadas de dia zero para causar estragos. Se ainda não aplicou um patch, aproveite para fazê-lo agora. Antes tarde do que nunca.
Para mais informações, visite o blog do Websense Security Labs: http://community.websense.com/blogs/securitylabs/archive/2015/04/14/shellshock-not-a-can-of-worms-if-you-patch.aspx