A vulnerabilidade do Shellshock chamou muita atenção quando foi divulgada pela primeira vez em 2014 – tanto da mídia quanto das equipes de segurança. Embora essa atenção tenha diminuído nos anos seguintes, a vulnerabilidade do Shellshock não desapareceu – nem a atenção do invasor enfraqueceu.
Em vez disso, essa vulnerabilidade continua sendo um alvo popular, principalmente em aplicativos de serviços financeiros. Na verdade, no início deste ano, o ThreatX identificou invasores tentando explorar uma vulnerabilidade Shellshock em aproximadamente um terço de nossos clientes. Esses números são preocupantes quando se considera a gravidade e a idade dessa vulnerabilidade. Como uma vulnerabilidade divulgada nove anos atrás ainda é tão prevalente em ataques? E por que tantas cooperativas de crédito são vítimas?
O que é Shellshock e por que ainda existe?
Shellshock, também conhecido como bug Bash ou CVE-2014-6271, é uma vulnerabilidade que os pesquisadores descobriram em setembro de 2014 no shell Unix Bash. Considerado uma vulnerabilidade crítica devido aos privilégios crescentes que fornece aos invasores se explorado, o Shellshock existia em bilhões de dispositivos em todo o mundo e causou pânico generalizado e incontáveis patches em 2014. O pânico diminuiu, mas a vulnerabilidade não desapareceu exatamente. Ele ainda existe e continua popular porque é relativamente simples de lançar e implantar e requer pouca habilidade ou custo de um invasor.
Então, por que ainda existe quase 10 anos depois? Três palavras: mau gerenciamento de patches. A falha na aplicação de patches em tempo hábil pode deixar as organizações vulneráveis a ataques que exploram vulnerabilidades conhecidas. A vulnerabilidade Shellshock é um excelente exemplo das consequências de não aplicar os patches imediatamente. Muitas organizações demoram a aplicar as atualizações necessárias, deixando seus sistemas abertos a ataques.
Uma das razões pelas quais as organizações estão lutando com o gerenciamento de patches é porque o processo pode ser complexo e demorado , especialmente em ambientes grandes ou distribuídos. Também pode haver preocupações sobre o impacto potencial da aplicação de patches, como tempo de inatividade ou problemas de compatibilidade com outro software. Além disso, algumas organizações podem não ter os recursos ou conhecimentos necessários para gerenciar com eficiência a aplicação de patches em toda a sua infraestrutura.
Como os invasores estão usando o Shellshock? Frequentemente, eles o usam para lançar ataques distribuídos de negação de serviço (DDoS) e atingir sistemas vulneráveis que estão interconectados. Esses ataques geralmente são implantados usando bots e botnets. Além disso, os invasores historicamente visaram a falha em alguns dispositivos de armazenamento de rede para despejar todos os dados que estão armazenando ou até mesmo para segmentar criptomoedas.
Por que as cooperativas de crédito são o alvo principal dos invasores?
Embora os invasores não estejam atacando apenas cooperativas de crédito com essa vulnerabilidade, o ThreatX observou uma proporção maior desses tipos de ataques contra nossos clientes de cooperativas de crédito do que nossos outros clientes. Para 33% de nossos clientes de cooperativas de crédito, o Shellshock foi um dos 4 principais tipos de ataque direcionado a eles em um período de quatro semanas em 2023.
As cooperativas de crédito são os principais alvos não apenas do Shellshock, mas também de ataques cibernéticos em geral. Eles são alvos atraentes principalmente porque detêm uma quantidade significativa de informações financeiras confidenciais, incluindo dados pessoais. Em segundo lugar, as cooperativas de crédito historicamente carecem dos recursos de segurança de grandes instituições financeiras e bancárias com grandes orçamentos e equipes de segurança. Eles geralmente são vistos como um alvo mais fácil devido à falta de defesas ou pessoal, e os invasores podem presumir que estão atrasados no patch.
Os riscos da cadeia de suprimentos de terceiros também podem ser maiores nessas organizações. As cooperativas de crédito geralmente dependem de fornecedores terceirizados para acesso a serviços bancários on-line, serviços bancários móveis e processamento de pagamentos. Nem todos os fornecedores estão aplicando os mesmos controles de segurança ou “tão bons quanto” que deixam todos vulneráveis e em risco.
Como você pode preparar seus sistemas contra Shellshock?
Para defender e proteger adequadamente seus sistemas contra possíveis ataques, as organizações precisam manter os sistemas atualizados e protegidos contra bots.
Otimizar Processos de Patch
Estabeleça uma política e um processo robustos de gerenciamento de patches, incluindo verificação regular de vulnerabilidades e priorização de patches críticos. Além disso, certifique-se de que todos os sistemas e softwares estejam configurados adequadamente para receber e aplicar patches automaticamente, onde e quando possível. O treinamento e a educação da equipe sobre as práticas recomendadas de gerenciamento de patches e a importância da atualização oportuna também são extremamente importantes. Por fim, as organizações devem revisar e atualizar regularmente sua estratégia de gerenciamento de patches para garantir que ela permaneça eficaz diante das ameaças e tecnologias em evolução.
Shore Up Bot Defense
A maioria dos ataques contra interfaces de programação de aplicativos (APIs) e aplicativos, incluindo aqueles relacionados ao Shellshock, agora utilizam bots ou botnets. O desafio de mitigar o tráfego de bots é que nem todos os bots são maliciosos (pense nos spiders dos mecanismos de pesquisa). Esforços grosseiros de mitigação de bots podem interromper ou degradar a experiência legítima do usuário. Há muito se sabe que o uso de CAPTCHA para identificar humanos versus bots leva a uma experiência do cliente abaixo do ideal. Bots avançados também podem usar navegadores sem cabeça ou representar usuários legítimos, o que pode facilmente derrotar a detecção baseada em agente do usuário e enganar firewalls de aplicativos da web e aplicativos da web fazendo-os pensar que os bots atacantes são, de fato, um usuário humano normal.
Técnicas de perfil comportamental e de engajamento de ameaças em tempo real são essenciais para a mitigação eficaz de bots. O perfil comportamental analisa grandes volumes de dados contextuais, monitorando cada solicitação ao vivo de cada usuário para caracterizar seu comportamento e mapear sua intenção. Ao ver mais transações, o sistema pode reconhecer um padrão mais amplo com muito mais rapidez e criar automaticamente uma assinatura comportamental complexa para bloquear o ataque em tempo real. Além do perfil comportamental, técnicas avançadas de engajamento de ameaças, como impressão digital IP, interrogatório e tarpitting , ajudam a esclarecer a intenção do “usuário”.
Faça uma abordagem proativa
Embora a vulnerabilidade do Shellshock ainda possa estar ativa por muitos anos, a melhor maneira de proteger a si mesmo e às organizações é implementar o gerenciamento adequado de patches nos planos de segurança e garantir que suas defesas de bot sejam otimizadas. Os cibercriminosos estão ficando mais espertos e o próximo Shellshock pode estar a caminho. Mas se você adotar uma abordagem proativa para sua segurança, não terá que se esforçar para implementar correções rápidas.
FONTE: DARKREADING