Uma nova e perigosa vulnerabilidade foi descoberta por Stéphane Chazelashas, integrante da divisão de segurança da McAfee. O pesquisador encontrou uma vulnerabilidade crítica no shell (interface) de linha de comando conhecido como Bash (ou GNU Bourne-Again Shell), que permite ao hacker ter acesso aos dados e controle sobre o dispositivo invadido.
O Bash, lançado em 1989, é implantado em diversos sistemas incluindo Debian, Ubuntu, MAC OS X, Android e até mesmo Windows. A ferramenta oferece aos usuários meios para interagirem diretamente com suas máquinas. Em outras palavras, um usuário coloca um código no Bash, que informa à máquina o que fazer com o código e, então, a máquina o executa.
A vulnerabilidade chamada Shellshock explora um bug programado no Bash que permite que o código injetado arbitrário seja executado como parte da atribuição de variáveis de ambiente. Segundo Gary Davis, vice-presidente de negócios de Consumer da McAfee, a vulnerabilidade permite que hackers, ou qualquer pessoa, que saiba programar um código rudimentar carregue, exclua e tome posse de um dispositivo remotamente.
O Shellshock possibilita ainda que os hackers ataquem diretamente servidores, roteadores e computadores que compartilham atributos comuns. O executivo destaca que mesmo que um dispositivo não esteja em risco, os servidores no qual todas as informações estão armazenadas podem ser afetados, além dos sites das companhias, se esses também usarem servidores Linux ou Unix.
A distinção entre hosts vulneráveis e realmente expostos se torna fundamental nesse caso, informa a McAfee. Existem inúmeras variáveis necessárias para que a exploração seja bem-sucedida e nem todas as variações do Bash são vulneráveis a essa exploração. Segundo Davis, usuários da Apple podem estar vulneráveis, mas somente em circunstâncias que exigem manipulação ativa do Unix.
Apesar de o Windows também utilizar uma versão importada do Bash, ele não é vulnerável à exploração da falha. O executivo destaca que dificilmente os hackers focam computadores individuais, priorizando ataques contra servidores de empresas por conter informações valiosas.
Muitas distribuições do Unix já têm patches disponíveis e outros estarão disponíveis em breve. Os sistemas vulneráveis devem ser corrigidos o quanto antes de acordo com as orientações dos fornecedores/produtos afetados. Entretanto, é necessário esperar até que os fabricantes de dispositivos liberem patches criados para corrigir o problema.