Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

En la estela de Heartbleed, el defecto Bash pone en riesgo a usuarios de Linux y Mac OS

Una vulnerabilidad de 20 años, descubierta en el shell Bash de los sistemas operativos basados ​​en Unix podría llevar a un peligroso brote de gusano.

Una importante falla de seguridad encontrada en el Bourne-Again shell basado en Unix, ampliamente conocido como...

Bash, que aparece en los sistemas operativos Linux y Mac OS X no solo podría dejar a millones de sistemas abiertos para ser explotados y competir con el alcance de la vulnerabilidad Heartbleed OpenSSL, sino que los expertos dicen que también podría sentar las bases para el brote de gusano más grande en más de una década.

Descubierto por el experto británico en Unix Stéphane Chazelas, la vulnerabilidad Bash, también conocida como Shellshock o CVE-2014-6271, en realidad se remonta más de 20 años y está presente en todas las versiones de shell hasta la 4.3.

La base de datos nacional de vulnerabilidades del US-CERT ha evaluado la gravedad de la falla como "10.0", que es la de gravedad más alta posible, basada en el sistema de puntuación de la vulnerabilidad común (CVSS), en gran parte porque es muy fácil de explotar: el error puede ser activado de forma remota sin ningún tipo de autenticación.

Huzaifa Sidhpurwala, un ingeniero de seguridad de la firma de software de código abierto Red Hat Inc., escribió en un blog ayer que la vulnerabilidad Bash puede ser explotada mediante la creación de variables de entorno especialmente diseñadas con código que se ejecuta tan pronto como el shell Bash es llamado. Surge la falla, según Sidhpurwala, porque Bash permite funciones limitadas que se pondrán en estas variables de entorno. Un atacante, dijo Sidhpurwala, solo necesita añadir código extra al final de una función para explotar el bug.

Sidhpurwala también observó que solo el contenido, no los nombres, de las variables es relevante, lo que significa que el defecto podría ser explotado en una diferentes maneras. Por ejemplo, un servidor Apache usando mod_cgi o mod_cgid podría verse afectado si esos scripts CGI están escritos en Bash, de acuerdo con la entrada del blog de ​​Red Hat, y la falla Bash podría utilizarse para realizar la ejecución de comandos arbitrarios en situaciones en las que se utiliza ForceCommand en configuraciones sshd para los usuarios remotos.

Robert Graham, CEO de Errata Security, dijo en un blog que el carácter generalizado del shell Bash es una de las razones por las que este defecto es "un problema tan grande como Heartbleed”.

"El bug interactúa con otro software de maneras inesperadas. Sabemos que interactuar con el shell es peligroso, pero escribimos código que lo hace de todos modos. Un enorme porcentaje de software interactúa con el shell de alguna manera", dijo Graham. "Por lo tanto, nunca seremos capaces de catalogar todo el software ahí afuera que es vulnerable al fallo de bash. Esto es similar al error OpenSSL: OpenSSL se incluye en cualquier cantidad de paquetes de software, así que nunca fuimos capaces de cuantificar exactamente cuánto software es vulnerable".

Bash podría llevar a un brote de gusano de nivel Código Rojo/Nimda

Aunque la penetración potencial de este fallo es claro, el impacto de cualquier posible intrusión aún no ha sido plenamente establecida.

Sin embargo, la noche del miércoles pasado, Graham confirmó que Bash se puede atacar con un gusano y que no solo hay miles de sistemas de internet vulnerables, sino también que al menos un atacante ya está explotando el fallo mediante la entrega de cargas de malware que utilizan las propias herramientas masscan de Graham para mapeo de puertos.

Los avances de seguridad en la última década han puesto de lado en gran medida los tipos de vulnerabilidades que podrían ser ampliamente explotadas por un gusano de internet, el cual es definido por los antiguos investigadores de Arbor Networks, Jose Nazario, Thomas Ptacek y Dug Song, como un ejecutable de propagación automática que se extiende directamente de sistema a sistema sin intervención humana.

Pero el analista y CEO de Securosis, Rich Mogull, dijo en un blog el jueves que la omnipresencia de Bash y la capacidad de la falla de ser atacada por un gusano es motivo de gran preocupación.

"Eso lo coloca en territorio de Código Rojo/Nimda. Un error viable que puede explotar los servidores públicos de la web es de miedo. No sabemos a ciencia cierta, Rob no sabe a ciencia cierta, pero se ve muy, muy posible", dijo Mogull. “Los gusanos potenciales son como mirar al volcán humeante mientras los terremotos mueven su martini –no son el tipo de cosas en las que usted puede esperar a la prueba definitiva antes de tomarlas en serio."

La lista de la base de datos nacional de vulnerabilidades de Estados Unidos explicó que la vulnerabilidad Bash podría permitir la divulgación no autorizada de información, la modificación no autorizada y las interrupciones en el servicio. Jim Reavis, director ejecutivo de Cloud Security Alliance, dijo en un blog que el fallo podría ser utilizado para establecer los encabezados en las solicitudes web y establecer tipos extraños de MIME.

Defecto Bash: Pruebe y parche inmediatamente

Las reacciones en toda la comunidad de seguridad indican que la severidad de la falla justifica la instalación de parches inmediatos. Los variantes de Linux, CentOS, Debian, Ubuntu y Red Hat ya han proporcionado parches, aunque Red Hat ha retirado su parche explicando que el parche original está "incompleto" y que la compañía sigue trabajando en el tema.

Unasesor del US-CERT también proporcionó un parche GNU Bash, pero advirtió que solo los usuarios experimentados y administradores deben implementarlo.

Para las empresas que no están seguras de si un sistema es vulnerable, Red Hat dice que ejecuten el siguiente comando:

$ env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"

Si la salida se lee: "vulnerable ... this is a test”, entonces está presente una versión vulnerable de Bash.

Graham animó a las empresasa mirar más allá de los sistemas típicamente asociados con Bash y a escanear para Telnet, FTP y versiones anteriores de Apache, así como cámaras de video y dispositivos de internet de las cosas.

"Cualquier cosa que responda es probablemente un antiguo dispositivo que necesita un parche de basch", dijo Graham en una entrada de blog. "Y, puesto que la mayoría de ellos no pueden ser parchados, es probable que esté en problemas”.

"A diferencia de Heartbleed, que solo afectó a una versión específica de OpenSSL, este fallo de bash ha estado alrededor por un largo, largo tiempo. Eso significa que hay un montón de dispositivos antiguos en la red vulnerables a este error”, continuó Graham. "El número de sistemas que necesitan ser parchados, pero que no lo van a ser, es mucho más grande que Heartbleed”.

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close