" />
ZOOM
GALERÍA
0 COMENTARIOS

El agujero de seguridad afecta a todas las versiones de los últimos 22 años

Shellshock, más peligroso que HeartBleed

Hace sólo unos meses el mundo de la seguridad se echaba las manos a la cabeza con un grave fallo de seguridad en OpenSSL. Hoy es el interfaz de línea de comandos bash el que pone en riesgo a millones de dispositivos en todo el mundo. Shellshock es una vulnerabilidad incluso más peligrosa que HeartBleed, te explicamos por qué.

Bash, el intérprete de comandos (casi) universal

El primer motivo es la difusión de este intérprete de línea de comandos. El shell bash, afectado por Shellshock, está presente en la práctica totalidad de equipos con Linux, Mac OS X y otros sistemas tipo Unix. Incluso en sistemas que utilizan otros shell por defect, como FreeBSD (tcsh) y OpenBSD (pdksh), es común que bash esté instalado e incluso que sea el sistema predeterminado.

Pero, aunque los servidores son los más amenazados por estar conectados permanentemente a la red y por ser fáciles de localizar, muchos más dispositivos pueden estar sujetos a riesgos. Aunque todos los móviles Android llevan este shell instalado, no son los más susceptibles a recibir ataques. Routers, cámaras IP y otros muchos dispositivos incorporan un sistema Linux o similar para gestionar sus recursos, por lo que podrían ser vulnerables también.

Un agujero que lleva 22 años abierto

Cuando los analistas de seguridad detectaron HeartBleed, comprobaron que todas las versiones de los dos últimos años de OpenSSL eran vulnerables. En el caso de bash, la primera versión afectada es la 1.22, publicada a principios de los años 90. En la práctica, todas las versiones existentes están afectadas. Desde la distribución de Ubuntu que instalaste en tu PC o servidor la semana pasada hasta ese router de hace unos años que tienes en casa.

Por supuesto, ya hay algún parche en circulación (aunque no definitivo) y los sistemas y dispositivos actuales deberían quedar resueltos a poco que sus administradores y fabricantes se preocupen por la seguridad de sus usuarios. Sin embargo, muchos dispositivos quedarán al descubierto, bien por descuido de sus propietarios, bien porque se trate de productos ya sin soporte. Tenemos Shellshock para rato.

Un camino sencillo al sistema operativo

Es posible utilizar de forma sencilla bash para realizar tareas en el sistema. Un script para cambiar las iptables (enrutado y firewall) en un router, un script cgi para realizar alguna tarea en un servidor web… la seguridad al programar estos elementos suele dar por seguro el propio intérprete de comandos y dejar al alcance de cualquiera explotar Shellshock en su beneficio.

El intérprete bash se utiliza incluso en los script por defecto de paneles de control tan populares como cPanel, dos de cuyos cgi (entropysearch.cgi y FormMail-clone.cgi) son vulnerables según informa Sucuri. En muchos casos, estos cgi por defecto no son eliminados por los administradores al crear sus webs e, incluso, ignoran su existencia.

El esperado parche

Con estos mimbres, podemos dar por seguro que muchos creadores de malware están ya localizando vulnerabilidades concretas y diseñando exploits para hacerse con el control de miles de servidores en todo el mundo, una práctica habitual para crear botnets con objeto de enviar spam o ataques de denegación de servicio.

Por ese motivo, Chet Ramey, actual responsable de mantener el desarrollo de bash, así como diferentes desarrolladores de GNU/Linux, están manos a la obra para ofrecer un parche definitivo. Ya ha sido publicado uno que elimina buena parte del riesgo, pero es casi seguro que en los próximos días veamos nuevas actualizaciones para este paquete de software.

No comments yet.

Deja un comentario