Pesquisadores da empresa de segurança Calif identificaram uma vulnerabilidade no Squid Proxy que está presente no código desde 1997 e pode permitir a leitura de partes da memória do servidor, expondo dados de usuários que passam pelo mesmo proxy. A falha recebeu o nome de Squidbleed e foi registrada como CVE-2026-47729.
O que é e como funciona
O Squid atua como intermediário entre clientes e a internet, usado em redes corporativas, escolas e pontos de Wi‑Fi públicos. Ao concentrar o tráfego de múltiplos usuários, ele pode armazenar, filtrar ou encaminhar requisições. A vulnerabilidade está no módulo que interpreta listagens de diretórios de servidores FTP.
Quando o servidor FTP retorna uma linha sem nome de arquivo, o código do Squid passa a ler além do espaço reservado para essa linha. O problema decorre do comportamento da função strchr, da linguagem C, que ao procurar o caractere nulo que marca o fim de uma string retorna um ponteiro válido para esse caractere em vez de indicar ausência. O código então segue além desse ponto e continua a leitura da memória.
Como o Squid reutiliza blocos de memória sem zerá‑los, os dados lidos além do limite podem conter conteúdo residual de requisições anteriores, incluindo cabeçalhos HTTP, tokens de sessão, chaves de API e credenciais. Os pesquisadores demonstraram o ataque recuperando um cabeçalho de autenticação de uma página de login.
Por que passou despercebida
A falha é considerada sutil porque depende de um caso específico do comportamento da strchr definido no padrão C11; poucos revisores humanos testariam essa situação. A correção, segundo os responsáveis pela descoberta, é simples: duas linhas de código que verificam se o ponteiro aponta para o fim da string antes de chamar a função.
Descoberta e ferramentas usadas
A Calif afirmou ter empregado o Claude Mythos Preview, modelo de IA da Anthropic em testes com organizações selecionadas, para analisar o código do módulo FTP do Squid. O modelo identificou rapidamente o comportamento problemático e citou a cláusula do padrão C11 que explica o retorno de um ponteiro não nulo pela strchr. A mesma abordagem já havia sido usada pela empresa para localizar uma vulnerabilidade grave no OpenSSL e uma técnica de negação de serviço no HTTP/2.
Imagem: Divulgação
Quem corre risco e mitigação
A falha afeta qualquer instalação do Squid com suporte a FTP ativo, que é o comportamento padrão. Um atacante precisa controlar um servidor FTP acessível pelo proxy, cenário viável em ambientes corporativos e sistemas legados. Conexões HTTPS padrão não são afetadas, pois o Squid as trata como túneis opacos. Pesquisadores encontraram Squid desatualizado operando até em redes de Wi‑Fi a bordo de aeronaves.
Correções foram incorporadas ao Squid 8 em abril de 2026 e também estão na versão 7.6, lançada em junho de 2026. Quem não puder atualizar imediatamente pode desativar o suporte a FTP para eliminar a superfície de ataque, medida que normalmente não impacta operações já que a maioria das organizações não usa FTP ativamente.
Com informações de Tecmundo
Gudyê GR6 é editor-chefe e especialista em tendências musicais e entretenimento na GR6, a maior produtora de funk do Brasil. Com anos de experiência no mercado fonográfico, Gudyê lidera a equipe de conteúdo trazendo as últimas notícias sobre música, cultura urbana. Autor do Post: Gudyê GR6
