ShellShock – Hackers tras la pista de BASH

el

El 24 de septiembre se publicaron dos nuevas vulnerabilidades en la base de datos del NIST relacionadas con el shell utilizado por sistemas operativos Linux y Unix desde hace bastante tiempo BASH. CVE-2014-6271 y CVE-2014-7169. A estas vulnerabilidades se les dió el nombre colectivo de SHELLSHOCK y a la fecha esta generando mucho movimiento en el mundo de seguridad informática, por el gran impacto que puede causar.

¿Que es el SHELLSHOCK?

Es una vulnerabilidad que afecta a un programa del sistema operativo conocido como GNU Bourne Again Shell (BASH) utilizado por varias plataformas, entre ellas: Unix, Linux, Mac OSX, iOS (iphone) y Android, además de múltiples dispositivos tales como routers, switches, módems, teléfonos, y muchos más, cuyas aplicaciones estan basadas en cualquiera de los primeros.

¿Cual es el impacto de Shellshock?

Si bien el programa BASH, es de uso local en el sistema operativo, puede ser invocado por cualquier otro programa del sistema operativo, incluso puede ser invocado desde aplicaciones Web. Por eso una vulnerabilidad en este programa tiene un impacto muy alto a nivel de todo el sistema.

Por ejemplo: Sistemas Web que utilicen llamadas CGI a shells escritos en BASH son afectados por esta vulnerabilidad, un caso específico es Apache, si tiene habilitado los módulos mod_cgi o mod_cgid, pero no tiene que ser solo Apache, esto puede afectar a cualquier servidor Web que haga llamadas CGI.

Si tienen aplicaciones PHP que invocan shells del sistema operativo, que estén escritos en BASH, también pueden verse afectados.

Los demonios con privilegios elevados, también pueden ejecutar shells scripts creados con BASH, esta es altamente peligroso.

Los programas pueden definir variables de ambiente que son utilizadas durante la ejecución de su código. Si se pueden crear variables de ambiente que contengan algún código malicioso, dicho código puede ser ejecutado, al utilizarse dicha variable, explotando la vulnerabilidad.

En resumen. El impacto es muy alto y tengo evidencias que demuestran que esta siendo utilizado para realizar ataques a nivel mundial. Por lo tanto, mi llamado es para que los administradores de sistemas apliquen los parches correspondientes de forma inmediata.

¿Como saber si mis equipos son vulnerables al ataque?

Para determinar si sus equipos son vulnerables al ataque, basta ejecutar el siguiente código, desde la línea de comandos de su sistema:

env x='() { :;}; echo vulnerable’ bash -c “echo esto es una prueba”

 

si obtiene como respuesta:

vulnerable

esto es una prueba

 

entonces su equipo es vulnerable, si no es vulnerable, obtendrá una respuesta como la siguiente:

bash: warning: x: ignoring function definition attempt

bash: error importing function definition for ‘x’
esto es una prueba

Actualmente un importante número de fabricantes de soluciones de seguridad, ya incluyen dentro de sus herramientas mecanismos que permiten detectar si esta vulnerabilidad está presente o no en su sistema.


Como recomendación, comience a aplicar los parches en los sistemas que estan expuestos directamente a Internet y luego a los equipos y sistemas que estan en las DMZ (zonas desmilitarizadas) y después a los sistemas que estan en las ZDC (zonas de confianza), y finalmente los sistemas en las otras redes privadas.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s