Uma equipe de oito cientistas e especialistas em segurança cibernética descobriu a vulnerabilidade Wallbleed no sistema Golden Shield, também conhecido como o Grande Firewall da China. Desde 2021, eles o exploram constantemente em um esforço para estudar os mecanismos do sistema, informações sobre as quais são praticamente inexistentes.
Fonte da imagem: Ricardo/unsplash.com
A vulnerabilidade foi chamada de Wallbleed em homenagem ao Heartbleed, uma vulnerabilidade no OpenSSL que foi descoberta há mais de uma década. O bug envolve um vazamento de memória e leitura de dados fora do intervalo permitido, mas os autores do estudo conseguiram forçar o equipamento chinês a revelar dados em blocos de apenas 125 bytes. O sistema Golden Shield foi projetado para bloquear informações proibidas na China e retardar o tráfego estrangeiro. Começou a funcionar na década de noventa e se tornou cada vez mais complexo ao longo dos anos. Vários métodos são usados para monitorar a atividade online dos usuários e filtrar informações.
O Wallbleed foi descoberto no subsistema de injeção de DNS, responsável por gerar respostas DNS falsas. Quando um usuário chinês tenta acessar um site bloqueado, seu computador consulta o DNS em busca do endereço IP correspondente ao domínio do site para que uma conexão possa ser estabelecida. O Golden Shield detecta e intercepta essa solicitação e envia uma resposta com um endereço IP falso que não leva a lugar nenhum. Do ponto de vista do usuário, o acesso fica bloqueado.
Fonte da imagem: aay / unsplash.com
Sob certas condições, o sistema retornava ao usuário não apenas um endereço IP falso, mas também 125 bytes de dados adicionais. O vazamento ocorreu em qualquer máquina que verifica a solicitação e a bloqueia dependendo do seu conteúdo. Ao elaborar cuidadosamente tal solicitação, foi possível capturar 125 bytes da memória de uma máquina no sistema. Para cada usuário no sistema Golden Shield, pelo menos três máquinas com injeções de DNS estão sendo executadas simultaneamente; mas há outros subsistemas que são acionados se o usuário, de alguma forma, obtém o endereço IP correto.
Wallbleed não é a primeira vulnerabilidade descoberta no sistema de bloqueio de recursos da China. Em 2010, uma conta do Twitter (agora X) postou um script de uma linha que explorava uma vulnerabilidade de DNS para recuperar 122 bytes de dados adicionais da memória das máquinas. Os descobridores do Wallbleed exploraram continuamente a vulnerabilidade de outubro de 2021 a março de 2024. Até setembro-outubro de 2023, essa era a vulnerabilidade Wallbleed v1, que especialistas chineses corrigiram, mas logo o Wallbleed v2 foi descoberto e finalmente fechado em março de 2024.
Os pesquisadores exploraram a vulnerabilidade para obter algumas informações sobre o equipamento no sistema Golden Shield, sobre o qual praticamente nada se sabe. Em particular, eles descobriram que os dados permaneciam na memória do equipamento entre zero e cinco segundos, e seus processadores centrais tinham uma arquitetura x86_64. Eles também descobriram que nós de retransmissão vulneráveis processavam tráfego de centenas de milhões de endereços IP chineses, representando praticamente todo o país.