Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Apple libera parche para la falla Bash

Apple confirmó que su sistema operativo Mac OS X es vulnerable al error Bash y que está preparando una solución para sus usuarios.

Apple ha confirmado que su sistema operativo Mac OS X es vulnerable al recientemente reportado error Bash, que los expertos estiman pone en riesgo hasta 500 millones de equipos basados ​​en Unix.

El error en la línea de comando de software Bash, utilizada en muchas computadoras basadas ​​en Unix es una amenaza mayor que la vulnerabilidad Heartbleed OpenSSL, ya que permite a los atacantes tomar control del equipo elegido como blanco.

La falla Bash se encuentra en mil veces más computadoras que Heartbleed y potencialmente podría haber sido explotado en secreto en los 25 años desde que se introdujo.

Las empresas de seguridad han advertido que los atacantes están probando sistemas para encontrar sus debilidades.

Según la firma de seguridad AlienVault, al menos dos gusanos informáticos están explotando activamente la falla para instalar malware que convierte a los sistemas en bots, que pueden ser utilizados para ataques de denegación de servicio distribuido (DDoS).

Los equipos de Respuesta ante Emergencias Informáticas de Estados Unidos y del Reino Unido se apresuraron a emitir advertencias sobre la falla, llamada Shellshock, e instaron a las organizaciones afectadas a instalar actualizaciones de seguridad de software inmediatamente.

Al principio, no estaba claro si el Mac OS X de Apple era afectado, pero ahora la compañía ha reconocido que el sistema operativo es vulnerable y que una solución está en el camino.

Sin embargo, la compañía afirma que cualquier persona utilizando la configuración predeterminada de Mac debería estar segura, informa The Verge.

"La mayoría de los usuarios de OS X no están en riesgo de la recientemente reportada vulnerabilidad Bash", dijo Apple en un comunicado.

"Con OS X, los sistemas están seguros por defecto y no expuestos a exploits remotos de bash a menos que los usuarios configuren los servicios avanzados de Unix", dijo Apple, añadiendo que se está trabajando en una actualización de software.

Sin embargo, Apple no ha indicado cuáles "servicios avanzados de Unix" podrían hacer que los usuarios de Mac OS X sean vulnerable a los ataques.

La amenaza más grande es hacia la empresa, porque muchos servidores web se ejecutan utilizando el sistema Apache, el software que incluye el componente Bash.

Pero, mientras quela mayoría de las principales distribuciones de Linux se han apresurado a lanzar actualizaciones, los expertos de seguridad han expresado su preocupación por los sistemas integrados basados ​​en Unix en los dispositivos de internet de las cosas (IoT).

El software utilizado en dispositivos tales como routers Wi-Fi utiliza comúnmente scripts bash, pero podrían no ser identificados como un riesgo y por tanto es poco probable que sean parchados.

Recomendaciones

Debido a la naturaleza y alcance de Shellshock, Trend Micro recomienda:

  1. Usuario final: Estar atentos a los nuevos parches de seguridad e implementarlos inmediatamente.
  2. Administrador de TI: Si cuentan con el sistema Linux, se recomienda deshabilitar los scripts o las secuencias de comandos BASH inmediatamente.
  3. Operador de sitio web: Si el BASH está en sus scripts, parche lo antes posible, o modifique sus scripts para no utilizar BASH.
  4. Clientes que cuentan con servicios de hosting o de terceros: Pregunte a su proveedor que están haciendo para remediar y aplicar parches.

Más información en: https://blog.trendmicro.com/bash-shellshock-vulnerability/

"Este va a ser uno de los que está con nosotros por mucho tiempo, ya que va a estar en una gran cantidad de sistemas embebidos que no se actualizan por mucho tiempo", dijo Nicholas Weaver, investigador del Instituto Internacional de Ciencias de la Computación (ICSI) y en la Universidad de California, Berkeley.

"El equipo elegido como blanco tiene que ser accesible, pero hay un montón de maneras en que esto convierta la accesibilidad en una ejecución completa de código local. Por ejemplo, uno podría escribir fácilmente un escáner que básicamente escaneara cada sitio web en el planeta buscando las páginas (web) vulnerables", dijo a KrebsOnSecurity.

Como Heartbleed, la falla Shellshock ha puesto de relieve la dependencia del mundo en el código de fuente abierta producido y mantenido por pequeños equipos de desarrolladores, a menudo de manera voluntaria.

El descubrimiento del error Heartbleed descubrió el hecho de que el software criptográfico OpenSSL fue mantenido por un pequeño equipo operando con un presupuesto reducido.

Del mismo modo, la responsabilidad de Bash recae en una sola persona, Chet Ramey, un desarrollador con sede en la Universidad Case Western Reserve, en Ohio, informa la BBC.

Que dichas partes clave de la tecnología cotidiana se mantengan de esta manera es una causa de preocupación, dijo Tony Dyhouse de la Iniciativa de Seguridad para la Confianza del Reino Unido.

"Esto es totalmente sintomático de la negligencia histórica que hemos visto para el desarrollo de una línea de base confiable y digna de confianza sobre la cual desarrollar una infraestructura de software", dijo a la BBC.

"En última instancia, se trata de un problema del ciclo de vida. Está aquí porque las personas están cometiendo errores al escribir el código y haciendo más errores al parchar los problemas originales”, dijo Dyhouse.

Stephane Chazelas, el investigador de seguridad francés que descubrió Shellshock, dijo que estaba "asombrado y asustado" por lo que encontró.

"Me di cuenta de que tenía en mis manos algo que podría permitir a alguien hackear un gran número de servidores o peor", dijo a la ABC.

Chazelas dijo que el problema con el error Shellshock es que, debido a que muchos tipos diferentes de software pueden interactuar con Bash, es difícil saber todas las posibles formas en que la vulnerabilidad puede ser explotada.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close