BASH Shellshock vulnerability acaba de ser divulgada por pesquisadores da empresa de segurança Qualys, e de cara, já assusta milhares de administradores web e linux, isso porque ela é tão simples de ser explorada, e ao mesmo tempo, pode causar tantos danos, que muita gente já está com um baita frio na espinha.

Alguns especialistas em segurança já classificaram este novo bug com a nota 10, a mais alta no que tange a periculosidade de uma vulnerabilidade.

Mais detalhes sobre a vulnerabilidade logo abaixo, mas vale um detalhe, que é (a sua exploração é tão simples, que um control+c + control+v já causa um caos tremendo na vítima que vc não faz ideia):

Today vulnerability CVE-2014-6271 (also known as shellshock) in Bash was published. It allows the attacker to specify arbitrary commands to execute by formatting an environment variable in a specific way. Bash (the Bourne Again SHell) is the default command interpreter for Linux and many other Unix versions and is consequently widespread use. But by itself the vulnerability is not that terrible, after all it is a local vulnerability and BASH is a command interpreter, its only reason to exist is to execute commands, so not such a big deal…

O legal é que já está rolando um scan massivo por toda a internet, a procura de servidores vulneráveis a essa nova praga.

Abaixo vocês poderão constatar alguns formas encontradas, até o momento, para mitigar esta vulnerabilidade:

Apache server using mod_cgi or mod_cgid are affected if CGI scripts are either written in bash, or spawn subshells. Such subshells are implicitly used by system/popen in C, by os.system/os.popen in Python, system/exec in PHP (when run in CGI mode), and open/system in Perl if a shell is used (which depends on the command string)
ForceCommand is used in sshd configs to provide limited command execution capabilities for remote users. This flaw can be used to bypass that and provide arbitrary command execution. Some Git and Subversion deployments use such restricted shells. Regular use of OpenSSH is not affected because users already have shell access.
DHCP clients invoke shell scripts to configure the system, with values taken from a potentially malicious server. This would allow arbitrary commands to be run, typically as root, on the DHCP client machine.
Various daemons and SUID/privileged programs may execute shell scripts with environment variable values set / influenced by the user, which would allow for arbitrary commands to be run.
Any other application which is hooked onto a shell or runs a shell script as using bash as the interpreter. Shell scripts which do not export variables are not vulnerable to this issue, even if they process untrusted content and store it in (unexported) shell variables and open subshells.

Vale lembrar que todo e qualquer sistema que rode o BASH está vulnerável a ela. 🙁

Atualização:

O pessoal da Sucuri divulgou uma série de informações interessantes sobre esta vulnerabilidade, inclusive um teste que qualquer administrador Linux pode realizar para saber se o seu server está vulnerável ou não:

[root@yourawesomeserver ~]# env x='() { :;}; echo vulnerable’ bash -c ‘echo hello’

If you are vulnerable it will return:

[root@yourawesomeserver ~]# env x='() { :;}; echo vulnerable’ bash -c ‘echo hello’
vulnerable
hello

Todas as distribuições Linux que possuem um time, mesmo que meio ligado a tudo que está acontecendo, já lançou uma atualização de segurança para o Bash.

Atualização 2:

O site https://shellshock.detectify.com/ é uma ferramenta online que visa identificar se portais ou outros sites estão vulneráveis ao problema do Bash Shellshock.

E vejam a logo do problema…

Vale a dica