Uma vulnerabilidade crítica de segurança, operando silenciosamente há quase três décadas, foi identificada no Squid, um dos servidores de cache e proxy de código aberto mais utilizados por corporações e provedores de internet ao redor do mundo. A falha, batizada de Squidbleed e rastreada como CVE-2026-47729, permite o vazamento de dados sensíveis, incluindo credenciais de acesso e tokens de sessão, ao explorar uma brecha de leitura de memória que remonta a 1997, durante o governo de Bill Clinton.
A descoberta foi realizada pelo pesquisador Lam Jun Rong, da Calif.io, com o auxílio da ferramenta de IA Anthropic’s Claude Mythos Preview. O problema foi reportado aos mantenedores do projeto em abril e corrigido na versão 7.6 do Squid, disponibilizada em 8 de junho. O caso ilustra como o software legado, muitas vezes esquecido nas entranhas da infraestrutura de rede, pode se tornar um vetor de ataque perigoso quando exposto a protocolos de comunicação que deveriam ter sido desativados há muito tempo.
O legado do protocolo NetWare
A raiz do problema reside em um commit realizado no código-fonte do Squid em 1997, desenhado para garantir compatibilidade com servidores NetWare, um sistema operacional de rede que dominou os escritórios nos anos 80 e 90. Na época, os servidores NetWare inseriam espaços extras entre o timestamp de modificação e o nome do arquivo nas listagens de diretório via FTP, o que causava erros de leitura em clientes comuns.
Para contornar essa peculiaridade, os desenvolvedores implementaram um loop específico destinado a ignorar esses espaços. A falha ocorre quando um servidor FTP controlado por um atacante não fornece um nome de arquivo após o timestamp. Nesses casos, o ponteiro de leitura ultrapassa o limite do buffer, forçando o sistema a copiar e enviar para o atacante o conteúdo adjacente na memória, que frequentemente contém requisições HTTP em texto puro.
A falha na arquitetura de rede
O mecanismo de exploração exige condições específicas para ser efetivado. O Squid precisa estar configurado para inspecionar tráfego HTTP em texto claro ou operar em ambientes com terminação TLS, além de ter permissão para se conectar a um servidor FTP externo na porta 21. Embora o FTP seja um protocolo amplamente considerado obsoleto, ele permanece ativado por padrão em muitas instâncias do Squid, mantendo uma superfície de ataque desnecessária.
A análise técnica sugere que o erro é um clássico caso de 'heap overread', onde a ausência de uma verificação de segurança para o terminador nulo permite que o software continue lendo dados além do que deveria. A correção, segundo Rong, é simples: basta validar a existência do terminador nulo antes de prosseguir com a leitura dos dados, uma prática de codificação que se tornou padrão apenas anos após a implementação original deste trecho de código.
Implicações para o ecossistema corporativo
A descoberta do Squidbleed levanta questões importantes sobre a manutenção de sistemas legados. Muitas organizações continuam a rodar versões antigas de proxies sem realizar auditorias de segurança rigorosas ou atualizar suas pilhas de software. A dependência de protocolos como o FTP, que já foram abandonados pela maioria dos navegadores modernos como o Chromium, cria um risco desproporcional ao benefício, já que o tráfego legítimo de FTP em redes corporativas é praticamente inexistente.
Para administradores de sistemas, a recomendação é imediata: atualizar para a versão 7.6 do Squid e, sempre que possível, desativar o suporte ao FTP. O incidente reforça a necessidade de reduzir a complexidade da infraestrutura de rede, eliminando funcionalidades desnecessárias que aumentam a exposição a ataques. A colaboração entre pesquisadores humanos e ferramentas de IA, como visto neste caso, pode ser uma estratégia eficiente para identificar 'dívidas técnicas' e vulnerabilidades enterradas em bases de código massivas.
O desafio da segurança em longo prazo
O que permanece incerto é a extensão do uso de protocolos obsoletos em outros softwares de infraestrutura crítica que ainda compõem a espinha dorsal da internet. Se um erro de 1997 permaneceu invisível por tanto tempo, é provável que existam outras falhas semelhantes esperando para serem descobertas por ferramentas de análise mais sofisticadas.
O setor de cibersegurança deve observar se a tendência de utilizar agentes de IA para varrer bases de código antigas resultará em uma onda de descobertas de vulnerabilidades históricas. A questão central não é apenas a correção do bug, mas a mudança de postura em relação à manutenção de sistemas legados que, embora funcionais, carregam riscos de segurança acumulados por décadas.
A persistência de tais vulnerabilidades sugere que a segurança da infraestrutura de rede é um trabalho constante, que exige não apenas patches, mas uma revisão profunda sobre a necessidade de cada linha de código em execução. O Squidbleed serve como um lembrete de que, no mundo da tecnologia, o passado nunca está realmente enterrado; ele apenas aguarda a próxima ferramenta de análise para ser revelado.
Com reportagem de Brazil Valley
Source · The Register
