Pesquisadores da empresa de segurança Calif descobriram uma vulnerabilidade no Squid Proxy, software amplamente usado em redes corporativas, escolas e redes Wi-Fi públicas, que existia no código desde 1997. A falha, batizada de Squidbleed e registrada como CVE-2026-47729, permite que um atacante leia partes da memória do servidor e recupere dados sensíveis de outros usuários conectados ao mesmo proxy.
O Squid é um software que funciona como intermediário entre usuários e a internet. Quando você acessa um site em uma rede corporativa ou escolar, muitas vezes sua requisição passa primeiro pelo Squid, que pode armazená-la em cache, filtrá-la ou simplesmente encaminhá-la.
Por centralizar o tráfego de muitos usuários, o proxy guarda dados de várias requisições ao mesmo tempo. É aí que a falha se torna perigosa.
Como a vulnerabilidade funciona
O problema está no código que o Squid usa para interpretar listagens de diretórios em servidores FTP, um protocolo antigo de transferência de arquivos.
Quando o servidor FTP retorna uma linha sem nome de arquivo, o código começa a ler a memória além do espaço reservado para aquela linha. Isso acontece por uma característica da função “strchr”, da linguagem C. Nela, ao procurar pelo caractere nulo que marca o fim de uma string, retorna um ponteiro válido para ele em vez de indicar que não encontrou nada. O código então avança além desse ponto e continua lendo.
O que vem depois na memória pode ser qualquer coisa que o Squid tenha processado antes. Como o software reutiliza blocos de memória sem apagá-los, esses blocos podem conter requisições HTTP de outros usuários.
Os pesquisadores demonstraram o ataque recuperando um cabeçalho de autenticação de uma página de login. Credenciais, tokens de sessão e chaves de API, tudo que trafega em HTTP comum pelo proxy, pode ser exposto.
Por que sobreviveu quase três décadas sem ser detectada?
A falha é muito sutil. Ela depende de um comportamento específico da função strchr na linguagem C: ao buscar pelo caractere nulo, ela o encontra, porque esse caractere faz parte técnica da string. Poucos revisores humanos pensariam em testar esse caso.
Felizmente, a correção é mínima: duas linhas de código que verificam se o ponteiro chegou ao fim da string antes de chamar a função. Segundo os pesquisadores, essa omissão sobreviveu a quase trinta anos de revisões, auditorias e reescritas.
Quem descobriu e como
A Calif afirma ter usado o Claude Mythos Preview, modelo de IA da Anthropic ainda em fase de testes com organizações selecionadas, para encontrar a falha. Ao analisar o código do módulo FTP do Squid, o modelo identificou o comportamento problemático da função quase imediatamente, citando a cláusula exata do padrão C11 que explica por que strchr retorna um ponteiro não nulo ao buscar pelo caractere nulo.
A mesma abordagem já havia sido usada para encontrar uma vulnerabilidade grave no OpenSSL e uma técnica de negação de serviço no protocolo HTTP/2.
Quem está em risco
A falha afeta qualquer instalação do Squid com suporte a FTP ativo, que é o comportamento padrão. O atacante precisa controlar um servidor FTP acessível pelo proxy, o que é viável em ambientes corporativos e legados.
Conexões HTTPS normais não são afetadas, já que o Squid as trata como túneis opacos e não lê o conteúdo. Os pesquisadores encontraram o Squid rodando até em sistemas de Wi-Fi de bordo em aeronaves, em versões com quase dez anos de defasagem.
O que fazer
Uma correção foi incorporada ao Squid 8 em abril de 2026 e incluída na versão 7.6 em junho de 2026. Quem não puder atualizar imediatamente pode desativar o suporte a FTP, o que elimina completamente a superfície de ataque. Como a maioria das organizações já não usa FTP de forma legítima, a medida praticamente não tem custo operacional.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.