Shellshock, la grave vulnerabilidad en Bash y todo lo que debes saber

Publicado en Ciencia y Tecnología, Noticias,


Tweet about this on TwitterShare on Google+1Share on Facebook0Share on LinkedIn0

Mucho se está hablando desde hace un par de días de Shellshock, una grave vulnerabilidad en Bash. No obstante, es probable que muchos usuarios no hayan oído hablar nunca de Bash ni sepan cómo se usa -o qué implicaciones tiene este fallo en los sistemas que usan a diario.

Es por eso que hemos preparado este post, para tratar de responder a las preguntas que se podrían estar haciendo en estos momentos y empezando por lo más básico.

¿Qué es Bash?

Bash (Bourne-again shell) es el intérprete de comandos más utilizado en GNU/Linux y muchos otros sistemas basados en UNIX como Android y Mac OS X. Su tarea consiste en interpretar los comandos que un usuario ejecuta, iniciando y deteniendo procesos, por ejemplo. Así es como los administradores de sistemas manejan habitualmente sus servidores, aunque sin dejar de lado a la siempre cómoda interfaz gráfica a base de ventanas.

No obstante, Bash es mucho más que un simple intérprete de comandos. También permite ejecutar operaciones en un servidor GNU/Linux que podríamos considerar como críticas, operaciones que van desde la planificación de tareas a las siempre necesarias actualizaciones del sistema y sus aplicaciones.

¿Que dispositivos utilizan Bash?

Como parte de muchos sistemas basados en UNIX, Bash está presente en una gran cantidad de dispositivos que utilizamos a diario, no solamente servidores y ordenadores de escritorio o portátiles (ya utilicen alguna distribución de GNU/Linux o Mac OSX). Pensemos por ejemplo en los millones de dispositivos Android. También se puede usar un intérprete de comandos en ellos aunque es algo que pocos usuarios hacen.

Si tenemos en cuenta otros dispositivos como los routers o todo tipo de dispositivos que conforman el Internet de las Cosas, el número de estos aumenta hasta una cantidad muy elevada. Sistemas de entretenimiento, Smart TVs, electrodomésticos como neveras o incluso sistemas domóticos suelen incorporar como sistema operativo alguna variante de UNIX que normalmente contiene Bash.

Bash no se ejecuta únicamente en servidores Linux normales: también está cargado en un porcentaje significativo de routers domésticos y medidores, aparatos y automóviles inteligentes, y otras cosas que uno ni siquiera pensaría que funcionan con Linux. Básicamente, una gran cantidad de dispositivos que enrutan el tráfico de Internet funcionan con Bash. Esto se extiende a los centros principales de enrutamiento de datos e instalaciones similares de todo el mundo

¿En qué consiste la vulnerabilidad Shellshock?

Primero vamos a aclarar que el nombre oficial de esta vulnerabilidad es GNU Bash Remote Code Execution Vulnerability (CVE-2014-6271) y está considerada como grave, tal y como sucedió con Heartbleed, ya que permitiría la ejecución remota de código y así obtener el control de un ordenador.

El problema con esta vulnerabilidad se viene produciendo porque Bash permite declarar funciones (algo que tampoco es extraño y entra dentro de lo normal), pero estas no se validan de forma correcta cuando se almacenan en una variable. En otras palabras: Bash se pasa de la raya, extralimita sus funciones y sigue ejecutando código a pesar de haber finalizado de procesar la función.

Aprovechar las vulnerabilidades de Bash significa que le puedes decir a un servidor que ejecute algo sin que realmente se autentique, lo que sería algo similar a decirle a Bash que haga algo sin haber siquiera iniciado la sesión: esto definitivamente encaja en la definición de “algo muy malo”

A continuación indicamos cómo creemos que esta vulnerabilidad puede afectar a distintos grupos de personas:

  • Usuarios de Windows: tus equipos están bien pero podrías correr riesgos de infección por códigos maliciosos al visitar servidores web comprometidos debido al aprovechamiento de la vulnerabilidad Shellshock. Ahora es un buen momento para asegurarte de que tu antimalware se encuentra actualizado.
  • Usuarios de Mac: lamentablemente, el Bash que viene con Mac OS X será vulnerable hasta que se publique una revisión. Estamos esperando el parche de Apple. Permanece atento a su lanzamiento e instálalo de inmediato. También es un buen momento para asegurarte de que tu antimalware se encuentra actualizado.
  • Usuarios domésticos de Internet, operadores de redes domésticas: aún no contamos con la lista definitiva de los dispositivos afectados. Por el momento, asume que el tuyo puede estarlo y espera las actualizaciones de tu proveedor de servicios de Internet (ISP) o del fabricante del router mientras sigues los sitios de noticias para estar al tanto de las amenazas activas que se aprovechan de esta vulnerabilidad. Si prefieres ser proactivo, lee el foro de soporte para tu ISP o proveedor del router. Envíales un correo electrónico o llámalos por teléfono para averiguar si tu dispositivo está afectado. Además, revisa que tu antimalware esté actualizado.
  • Oficinas pequeñas/domésticas y PYME: Lo mismo que se aconseja arriba si te encargas tú mismo de la seguridad. Si en cambio tienes un Proveedor de servicios gestionados, habla con él.
  • Departamentos de TI: Revisa todos los sistemas que usen Bash y sigue los pasos adecuados para resolver el problema como informen las distribuciones Linux, ya sea RedHat, Debian o Ubuntu. Hay mucha información al respecto en esta página de NGINX y en esta página de Cisco.
  • Todo el que tenga un sitio web alojado en una empresa de hosting: consulta su página de soporte para ver las novedades y las actualizaciones.
  • Todo el que tenga un servidor privado virtual: consulta la página de soporte de tu proveedor. Es probable que tengas que abordar este asunto tú mismo, en cuyo caso te conviene consultar con un experto en el tema.

¿Se puede utilizar esta vulnerabilidad con fines maliciosos?

Todas las vulnerabilidades pueden usarse con fines maliciosos en mayor o menor medida. En estos momentos nos encontramos en la fase de averiguar qué puede romperse con Shellshock. Ya sabemos que aquellos scripts CGI corriendo en Apache pueden verse afectados, pero en teoría también pueden crearse muchos otros exploits que podrían ser aprovechados por atacantes y ser incluidos en exploit kits.

Desde Alien Vault han empezado a observar ataques que intentan aprovechar esta vulnerabilidad, principalmente ataques que intentan detectar si un sistema es vulnerable lanzado un comando ping y esperando la respuesta. No obstante, también han observado que algunos atacantes están usando Shellshock para instalar dos tipos de código malicioso en los sistemas vulnerables.

Estas primeras muestras de malware se centran en recopilar información de los sistemas infectados pero también los conectan a un Centro de Comando y Control (C&C) en poder de los atacantes, permitiéndoles lanzar comandos remotos y probar un ataque de fuerza bruta contra las contraseñas de usuarios con privilegios, y obtener así el control del sistema.

Este es solo un ejemplo de ataques que ya se están produciendo, pero solo son la punta del iceberg de lo que podríamos ver en las próximas semanas si no se toman las medidas adecuadas.

¿Cómo se soluciona este problema?

Una vez conocida la vulnerabilidad y sus consecuencias, muchos usuarios estarán preguntándose cómo les afecta a ellos. Por si aún queda algún despistado que se lo pregunta, Windows no se ve afectado, pero esto no es excusa para bajar la guardia puesto que es muy probable que utilice algún otro dispositivo que sea vulnerable como routers, móviles Android u otro tipo de dispositivos conectados a Internet y de los cuales desconozca su sistema operativo -aunque muy probablemente sea una variación de GNU/Linux o esté directamente basado en UNIX.

La mayoría de distribuciones importantes de GNU/Linux han lanzado o están a punto de lanzar actualizaciones tanto para sistemas de escritorio como servidores que solucionan el problema, por lo que, si se encargan de tener sus sistemas actualizados, no deberían tener mayores dificultades.

El verdadero problema radica en aquellos sistemas que no se actualizan, bien porque no hay nadie que los mantenga o porque se trata de sistemas incrustados en dispositivos que no están preparados para recibir actualizaciones o el fabricante ha dejado de publicarlas para ciertos modelos.

La mayoría de estos equipos están y seguirán estando conectados a Internet durante un buen tiempo, lo que les convierte en un objetivo muy atractivo para los delincuentes. En ese caso, los usuarios más avanzados pueden dedicar unas horas de esfuerzo a revisar el firmware del router, por ejemplo, e instalar uno alternativo que sea compatible.

Conclusión

La publicación de esta vulnerabilidad ha servido para que una gran cantidad de usuarios cierren una puerta de entrada a los atacantes que llevaba mucho tiempo abierta. No obstante, queda aún por resolver la problemática sobre cómo actualizar los millones de dispositivos que conforman el “Internet de las cosas” y que seguirán siendo potencialmente vulnerables durante un tiempo.


vía ESET

Califica esta entrada

Etiquetas:


Deja un comentario

Cuanto es 25 + 6 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos