Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Atacantes ya están apuntando a la vulnerabilidad Bash

A pocos días de que se descubrió la falla Bash, atacantes están tratando de aprovecharla para entregar malware hacia sistemas vulnerables.

Ya se está escribiendo y reescribiendo exploits para la vulnerabilidad de seguridad Bash 'Shellshock', que fue...

anunciada hace apenas unos días, lo que aumenta la urgencia para las empresas de remediarla rápidamente.

A medida que proveedores como Red Hat Inc. y Apple Inc. continúan trabajando en parches que se ocupan de la vulnerabilidad 'Shellshock' en el Bourne-Again Shell (bash), nueva evidencia muestra que los atacantes ya están tratando de explotar la falla.

La vulnerabilidad de seguridad Bash, CVE-2014-6271, ha sido objeto de intensa especulación pública desde que fue anunciada el miércoles, con muchos expertos en seguridad diciendo que el fallo podría ser peor que el infame error Heartbleed OpenSSL. La vulnerabilidad puede ser activada mediante la colocación de un código malicioso en el extremo de una función antes de que sea manejada por el shell Bash, que se incluye por defecto en el sistema operativo Linux y se encuentra en Apple Mac OS X.

Parte de lo que hace a la falla tan peligrosa es la facilidad con que un atacante podría aprovecharla de forma remota –una gran parte de la razón por la que estaba clasificada como un 10.0 por explotabilidad en el sistema de puntuación de vulnerabilidades comunes (CVSS), la calificación más alta posible. En conjunto con el carácter generalizado de la falla, no es sorprendente encontrar atacantes que tomen rápidamente ventaja de la situación.

En primer lugar, el CEO de Errata Security, Robert Graham, publicó una investigación en el blog de su compañía mostrando cómo la vulnerabilidad de seguridad Bash podría potencialmente ser atacada por gusanos escaneando internet buscando sistemas vulnerables. Desde entonces, se ha descubierto que los atacantes reutilizaron el script de Graham para descargar malware cuando los sistemas vulnerables responden. Los atacantes incluso colocaron "Gracias-Rob" en el código, ahora alojado en GitHub, en referencia a la obra de Graham.

"Alguien está usando masscan para entregar malware. Probablemente habrán puesto en peligro la mayor parte del sistema que he encontrado para mañana por la mañana", dijo Graham en la entrada del blog. "Si están utilizando diferentes URLs y arreglan el campo Host, tendrán muchos más”.

Johannes Ulrich, director del Internet Storm Center del SANS Institute, confirmó en una entrada de blog en el sitio web de SANS que los servidores web de la organización de investigación han sido objeto de múltiples intentos de explotación que apuntaban a la vulnerabilidad Bash. Ulrich dijo que los atacantes están actualmente llamando scripts CGI a través de exploraciones con la esperanza de encontrar sistemas vulnerables, aunque los clientes DHCP y los servidores SSH también podrían ser explotados.

Jaime Blasco, director de AlienVault Labs, puso más pruebas en el blog del proveedor ayer, mostrando atacantes que intentan aprovechar la vulnerabilidad Bash. AlienVault estableció honeypots para detectar intentos de explotación, dijo Blasco, y en 24 horas varios sistemas habían sido detectados escaneando los honeypots buscando máquinas vulnerables.

Más intrigante aún, Blasco dijo que dos atacantes separados fueron en realidad descubiertos tratando de instalar malware. El primer ataque descargó un binario ejecutable y enlazable (ELF) que trata de robar información del sistema e incluso contiene código para analizar las huellas que dejan (fingerprinting) los honeypots. El malware intenta abrir una conexión a un servidor de comando y control (C&C) y soporta varios comandos, algunos de los cuales son utilizados para los ataques de denegación de servicio.

Blasco dijo que la otra muestra de malware recogido por AlienVault era un bot IRC reutilizado que fue aparentemente controlado por atacantes de habla rumana. El ataque es iniciado con un script en Perl que infecta una máquina vulnerable, la cual luego se conecta a un servidor IRC (185.31.209.84) en el puerto 443. Una vez que la víctima es conectada, los atacantes ejecutan dos comandos –“uname–a” y “id"– para comprobar el nombre de usuario y el sistema operativo.

Había 715 usuarios conectados al servidor de IRC cuando el sistema honeypot de AlienVault fue infectado, según Blasco, y 20 más se unieron a la botnet hasta el momento en que se publicó la entrada del blog.

"Hemos visto que el propósito principal de los bots es realizar ataques distribuidos de denegación de servicio", dijo Blasco por correo electrónico.

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close