¿Qué implica Shellshock para y qué soluciones hay para la falla?
El Laboratorio de Investigación de ESET Latinoamérica frece algunos consejos preliminares sobre lo que conviene hacer como respuesta a la vulnerabilidad Shellshock
El exploit Shellshock o Bash Bug no es un código malicioso, por lo cual no puede ser detectado y bloqueado del modo en que puede hacerse con estos últimos. Shellshock es una vulnerabilidad que existe en sistemas basados en Linux y Unix. Afecta a una amplia gama de equipos y dispositivos digitales, muchos de los cuales requerirán la instalación de un parche para evitar la filtración de datos o que los dispositivos queden bajo el control de personas maliciosas.
Un exploit como Shellshock pueden valerse para robar información importante como datos bancarios o de identificación personal. Se recomienda que contacte a sus proveedores de servicios online que manejan su información personal (por ejemplo, el banco del cual es cliente) y verifique que hayan emparchado sus sistemas para eliminar esta vulnerabilidad.
Los sistemas afectados incluyen equipos con Mac OS X, muchos servidores web y algunos dispositivos domésticos para la administración de redes, como los routers.
¿Cuál es el problema?
Su nombre oficial es vulnerabilidad en GNU Bash para la ejecución de código remoto (CVE-2014-6271) y tiene graves repercusiones, a la par de Heartbleed, ya que es capaz de posibilitar que un atacante tome el control de un equipo determinado. Naturalmente, todo esto le puede sonar irrelevante al usuario de Internet promedio que nunca escuchó del programa Bash.
Cameron Camp, un usuario de Linux con experiencia, explica la situación en cinco puntos principales:
1. Bash es la abreviatura de Bourne-again shell (“el shell de Bourne otra vez”) y es la interfaz de línea de comandos utilizada por la mayoría de usuarios de sistemas Linux y, a veces también, de servidores y equipos Mac/BSD. Es decir que Bash es básicamente la forma primaria en que le envías comandos a tu servidor Linux, habilitas y deshabilitas opciones, inicias servidores web, y demás. Es lo que usas para manejar tu servidor el 90% de las veces. Lo que tu escritorio es para tu equipo Windows o Mac, lo es Bash para servidores. Pero Bash es aún más que eso: es el mecanismo esencial mediante el cual gran parte del servidor Linux se inicia y controla las operaciones que ejecuta todo el tiempo, como tareas de programación, actualizaciones, y similares.
2. Bash no se ejecuta únicamente en servidores Linux normales: también está cargado en un porcentaje significativo de routers domésticos y medidores, aparatos y automóviles inteligentes, y otras cosas que uno ni siquiera pensaría que funcionan con Linux. Básicamente, una gran cantidad de dispositivos que enrutan el tráfico de Internet funcionan con Bash. Esto se extiende a los centros principales de enrutamiento de datos e instalaciones similares de todo el mundo.
3. En este preciso momento nos encontramos al comienzo del ciclo del descubrimiento de la vulnerabilidad y la pregunta es: “¿qué cosas puede afectar?”. Ya sabemos que puede inhabilitarscripts CGI que se ejecutan en servidores Apache. Hasta acá está claro, pero cuando alguien convierte a esta vulnerabilidad en un arma, surgen montones de otros exploits antes de que las personas tengan la oportunidad de instalar los parches correspondientes en sus dispositivos. Ya se están revisando algunas vulnerabilidades y, sin duda, seguirán muchas más. ¡Recuerda que algunos servidores BSD/Linux no se han reiniciado en cinco años o más! Por eso suelen retrasarse con las actualizaciones para corregir problemas de seguridad.
4. En este momento estoy observando el tráfico de mensajes de ciertos grupos web confiables y noto que los comentarios aparecen a raudales con personas que comparten datos entre sí sobre intentos de ataques de exploits activos. Esto está muy bien, pero dichos grupos son demasiado técnicos, por lo que la información debe traducirse para el consumo del público general y acompañarse por consejos prácticos.
5. Finalmente, en palabras simples, aprovechar las vulnerabilidades de Bash significa que le puedesdecir a un servidor que ejecute algo sin que realmente se autentique, lo que sería algo similar a decirle a Bash que haga algo sin haber siquiera iniciado la sesión: esto definitivamente encaja en la definición de “algo muy malo”.
A continuación indicamos cómo creemos que esta vulnerabilidad puede afectar a distintos grupos de personas:
- Usuarios de Windows: tus equipos están bien pero podrías correr riesgos de infección por códigos maliciosos al visitar servidores web comprometidos debido al aprovechamiento de la vulnerabilidad Shellshock. Ahora es un buen momento para asegurarte de que tu antimalwarese encuentra actualizado.
- Usuarios de Mac: lamentablemente, el Bash que viene con Mac OS X será vulnerable hasta que se publique una revisión. Estamos esperando el parche de Apple. Permanece atento a su lanzamiento e instálalo de inmediato. También es un buen momento para asegurarte de que tuantimalware se encuentra actualizado.
- Usuarios domésticos de Internet, operadores de redes domésticas: aún no contamos con la lista definitiva de los dispositivos afectados. Por el momento, asume que el tuyo puede estarlo y espera las actualizaciones de tu proveedor de servicios de Internet (ISP) o del fabricante del router mientras sigues los sitios como We Live Security para estar al tanto de las amenazas activas que se aprovechan de esta vulnerabilidad. Si prefieres ser proactivo, lee el foro de soporte para tu ISP o proveedor del router. Envíales un correo electrónico o llámalos por teléfono para averiguar si tu dispositivo está afectado. Además, revisa que tu antimalwareesté actualizado.
- Oficinas pequeñas/domésticas y PYME: Lo mismo que se aconseja arriba si te encargas tú mismo de la seguridad. Si en cambio tienes un Proveedor de servicios gestionados, habla con él.
- Departamentos de TI: Revisa todos los sistemas que usen Bash y sigue los pasos adecuados para resolver el problema como informen las distribuciones Linux, ya sea RedHat, Debian oUbuntu. Hay mucha información al respecto en esta página de NGINX y en esta página de Cisco.
- Todo el que tenga un sitio web alojado en una empresa de hosting: consulta su página de soporte para ver las novedades y las actualizaciones.
- Todo el que tenga un servidor privado virtual: consulta la página de soporte de tu proveedor. Es probable que tengas que abordar este asunto tú mismo, en cuyo caso te conviene consultar con un experto en el tema.
Por último, ESET sigue monitoreando los desarrollos relacionados con la vulnerabilidad de Shellshock Bash y seguirá actualizando las novedades en próximas publicaciones.