El error ‘Shellshock’ significa un problema para la seguridad web – Krebs on Security

Como si los consumidores no estuvieran ya sufriendo de fatiga de brechas: los expertos advierten que los atacantes están explotando una vulnerabilidad de seguridad crítica recientemente revelada presente en innumerables redes y sitios web que dependen de Unix y linux sistemas operativos. Los expertos dicen que la falla, denominada «Shellshock», está tan entrelazada con la Internet moderna que podría resultar difícil de solucionar y, a corto plazo, es probable que ponga en peligro millones de redes e innumerables registros de consumidores.

El error se compara con la reciente vulnerabilidad Heartbleed debido a su ubicuidad y gran potencial para causar estragos en los sistemas conectados a Internet, particularmente en los sitios web. Peor aún, los expertos dicen que el parche oficial para el agujero de seguridad está incompleto y aún podría permitir que los atacantes tomen el control de los sistemas vulnerables.

El problema reside en una debilidad en el Bourne Again Shell de GNU (Bash), la utilidad de línea de comandos basada en texto en múltiples sistemas operativos Linux y Unix. Los investigadores descubrieron que si Bash está configurado para ser la utilidad de línea de comandos predeterminada en estos sistemas, los abre a ataques remotos especialmente diseñados a través de una gama de herramientas de red que dependen de él para ejecutar scripts, desde telnet y shell seguro (SSH ) sesiones a solicitudes web.

Según varias empresas de seguridad, los atacantes ya están investigando los sistemas en busca de la debilidad y que al menos dos gusanos informáticos están explotando activamente la falla para instalar malware. jaime blascodirector de laboratorios en AlienVault, ha estado ejecutando un honeypot en la vulnerabilidad desde ayer para emular un sistema vulnerable.

“Con el honeypot, encontramos varias máquinas que intentaban explotar la vulnerabilidad de Bash”, dijo Blasco. “La mayoría de ellos solo están investigando para verificar si los sistemas son vulnerables. Por otro lado, encontramos dos gusanos que están explotando activamente la vulnerabilidad e instalando una pieza de malware en el sistema. Este malware convierte los sistemas en bots que se conectan a un servidor C&C donde los atacantes pueden enviar comandos, y hemos visto que el propósito principal de los bots es realizar ataques de denegación de servicio distribuidos”.

los vulnerabilidad no afecta a los usuarios de Microsoft Windows, pero hay parches disponibles para sistemas Linux y Unix. Además, es probable que los usuarios de Mac sean vulnerables, aunque todavía no hay un parche oficial de Apple para esta falla. Actualizaré esta publicación si vemos algún parche de Apple.

Actualización, 29 de septiembre a las 9:06 p. m. ET: Apple ha lanzado una actualización para este error, disponible para OS X Mavericks, León de montañay León.

El aviso del US-CERT incluye un script de línea de comando simple que los usuarios de Mac pueden ejecutar para probar la vulnerabilidad. Para verificar su sistema desde una línea de comando, escriba o corte y pegue este texto:

env x='() ; echo vulnerable' bash -c "echo this is a test"

Si el sistema es vulnerable, la salida será:

vulnerable
 this is a test

Un sistema no afectado (o parcheado) generará:

 bash: warning: x: ignoring function definition attempt
 bash: error importing function definition for `x'
 this is a test

US-CERT tiene una lista de sistemas operativos que son vulnerables. Red Hat y varias otras distribuciones de Linux han publicado correcciones para el error, pero según US-CERT, el parche tiene un problema que impide que se solucione por completo.

El error Shellshock se compara con Heartbleed porque afecta a muchos sistemas; determinar cuáles son vulnerables y desarrollar e implementar soluciones para ellos probablemente llevará tiempo. Sin embargo, a diferencia de Heartbleed, que solo permite a los atacantes leer información confidencial de servidores web vulnerables, Shellshock permite potencialmente a los atacantes tomar el control de los sistemas expuestos.

“Este será uno que estará con nosotros durante mucho tiempo, porque estará en muchos sistemas integrados que no se actualizarán durante mucho tiempo”, dijo Nicolás Tejedor, investigador del Instituto Internacional de Ciencias de la Computación (ICSI) y de la Universidad de California, Berkeley. “La computadora de destino tiene que ser accesible, pero hay muchas maneras en que esto convierte la accesibilidad en una ejecución de código local completa. Por ejemplo, uno podría escribir fácilmente un escáner que básicamente escanearía todos los sitios web del planeta en busca de páginas (web) vulnerables”.

Manténganse al tanto. Este podría ponerse interesante muy pronto.

¿Que te ha parecido?

Deja un comentario