Internet lleva desde el pasado miércoles pendiente de la amenaza del nuevo gran agujero de seguridad de la Red: Shellshock. Las dudas al respecto se acumulan, y nosotros intentamos responder a algunas.
¿Cuándo se descubrió esta vulnerabilidad?
El pasado día 24 de Septiembre, Florian Weimer (miembro del equipo de seguridad de Red Hat) publicaba el siguiente mensaje en una lista de correo de Seclists.org:
“Stephane Chazelas descubrió una vulnerabilidad en bash, relacionada con la forma en variables de entorno son procesadas (…) En muchas configuraciones comunes, esta vulnerabilidad es explotable a través de la red. Chet Ramey, el responsable del desarrollo de GNU Bash, pronto lanzará parches del desarrollador oficiales”.
Que se sepa, ésta es la primera mención que existe a la vulnerabilidad que horas después sería bautizada como Shellshock y causaría el pánico entre los responsables de muchos sistemas informáticos. Por cierto, el mencionado Chet Ramey posiblemente fue el culpable -hace ya la friolera de 21 años- de introducir en el código de Bash el bug causante de este problema. El propio Chazelas lo explica aquí.
¿Qué es GNU Bash?
Bash es una shell o intérprete de comandos. Es decir, el programa que permite transmitir órdenes al sistema operativo a través de texto. Cuando se crearon las interfaces gráficas de usuario, estas shells siguieron formando parte fundamental del núcleo del sistema (el propio Windows, años después de haber dejado atrás el MS-DOS, sigue incluyendo cmd.exe para realizar estas funciones).
“Bash” significa “Bourne-again shell”, un juego de palabras que hace referencia a la shell de Unix 7 (Bourne Shell). El proyecto GNU desarrolló Bash basándose en esta última en 1987, y de ahí llegaría a ser la opción predeterminada de los principales derivados de Unix: Linux y *BSD.
¿Es potencialmente más peligroso Shellshock de lo que lo fue Heartbleed?
Hay una diferencia fundamental entre ambos agujeros de seguridad: Heartbleed permitía ‘únicamente’ descifrar el tráfico de bits de un servidor, dejando al descubierto datos de acceso privados como números de tarjetas o contraseñas. Pero Shellshock es diferente: permite al atacante ejecutar código en tu sistema, por lo que puede pasar a controlarlo. Algunos analistas prefieren compararlo con el gusano SQL Slammer. Éste se aprovechaba de una vulnerabilidad de Microsoft SQL Server y logró infectar 75.000 equipos en poco más de 10 minutos, causando una reducción dramática de la velocidad de Internet a nivel global. Por el momento, Kaspersky y AlienVault ya han detectado ataques basados en Shellshock y difundidos a través de varios gusanos.
¿Un buen parche solucionará el problema?
El gran problema es que, incluso después de que aparezca un parche que solvente de manera definitiva esta vulnerabilidad, seguiremos sufriendo a ShellShock durante mucho tiempo: Routers, cámaras web, pasarelas SIP, sistemas NAS… todos ellos están vienen de fábrica con versiones vulnerables de Bash, que difícilmente podrán ser actualizadas, por lo que Shellshock seguirá causando estragos en muchos sistemas.
¿Cómo puedo saber si mi sistema Unix (Mac, Linux, etc) es vulnerable a Shellshock?
Fácil. Teclea esto en un shell:
env x='() { :;}; echo vulnerable' bash -c 'echo this is a test'
Si la respuesta del intérprete de comandos es “vulnerable”… bueno, ahí lo tienes.
¿Y cómo puedo saber si el servidor donde alojo mi web WordPress es vulnerable a Shellshock?
El portal ManageWP, especializado en este gestor de contenidos web, ha publicado un plugin terriblemente simple para comprobarlo: sólo debemos instalarlo y hacer click en la opción de ejecutar test.
from TICbeat http://ift.tt/1nr5Ycn
