211service.com
Por qué el error Shellshock es peor que Heartbleed
El miércoles pasado se detectó una grave vulnerabilidad de software llamada Shellshock. reportado ; el error podría explotarse para comprometer millones de servidores y otros dispositivos en todo el mundo. Todavía no sabemos cuán amplio y costoso será el problema, pero ya sabemos que Shellshock es más grave que la vulnerabilidad Heartbleed que recibió mucha atención en abril.
Software afectado por Heartbleed que utilizan los servidores para cifrar y proteger las comunicaciones. La falla permitió a los atacantes obtener información confidencial, como claves de cifrado o contraseñas de servidores vulnerables que podrían usarse para acceder en secreto al sistema más adelante, por ejemplo, para robar datos personales.
Shellshock permite a un atacante mucho más poder. Pueden usarlo para tomar el control completo de un sistema incluso sin tener un nombre de usuario y contraseña. La explotación de la vulnerabilidad es simple y no requiere habilidades avanzadas.
Debido a que un atacante puede usar Shellshock para ejecutar de forma remota cualquier código en un sistema, podría usarse para crear un gusano autorreplicante. Usaría un sistema comprometido para atacar otros sistemas, y así sucesivamente, propagándose a través de la red y comprometiendo cientos o miles de sistemas en poco tiempo.
La vulnerabilidad Shellshock se encontró en un paquete de software llamado Intento , un intérprete de línea de comandos, o shell, que proporciona una forma poderosa y flexible de ejecutar comandos en una computadora. Es el predeterminado para todos los sistemas operativos basados en Linux y Mac OS X de Apple. Bash también se usa ampliamente en dispositivos simples conectados a Internet, muchos de los cuales ejecutan versiones de Linux, lo que significa que no solo los servidores podrían verse comprometidos sino también algunos enrutadores domésticos. Cámaras IP, etc
Algunos dispositivos de red populares ampliamente utilizados por las corporaciones ya han sido identificados como vulnerables. Los dispositivos móviles no están en riesgo, a menos que haya modificado su dispositivo Apple o Android para tener más control sobre su software.
Shellshock es peligroso porque, si bien Bash no está directamente expuesto a Internet, algunos programas que sí lo están pueden hacer uso de Bash internamente. Por ejemplo, el software DHCP que negocia su conexión a una red Wi-Fi puede pasar comandos a Bash. Esto significa que alguien con un sistema operativo vulnerable (principalmente Linux) podría ser atacado cuando se conecta a una red Wi-Fi que no es de confianza. (Vale la pena señalar que conectarse a redes Wi-Fi que no son de confianza siempre es un riesgo).
Un día después de que se informara sobre Shellshock, había pruebas de que se estaba utilizando para organizar ataques en la naturaleza. Los departamentos de seguridad de la información de todas las empresas y organizaciones deben tomar medidas preventivas, como aplicar arreglos de seguridad y monitorear de cerca las redes internas. El Equipo de Preparación para Emergencias Informáticas de los Estados Unidos ha emitió una alerta , y junto con otras organizaciones de seguridad en todo el mundo, recomienda a los usuarios y administradores de sistemas que apliquen correcciones de seguridad lo antes posible.
Sin embargo, todavía es demasiado pronto para elaborar una lista exhaustiva de los dispositivos afectados que necesitan una actualización. Y aunque los investigadores y los proveedores de dispositivos están publicando detalles sobre qué dispositivos son vulnerables y cuáles no, para algunos dispositivos en uso, nadie los verificará porque ya no son compatibles o falta documentación.
Cuanto más rápido se identifiquen y parcheen los sistemas, menor será el número de compromisos de seguridad y pérdidas financieras que causará Shellshock. Es posible que los efectos económicos de este error sean graves porque un sistema comprometido puede afectar a muchas personas. Por ejemplo, un sitio de comercio electrónico comprometido no solo podría causar la pérdida de ventas debido al tiempo de inactividad necesario para parchear, sino que también podría exponer millones de detalles de tarjetas de crédito, lo que incomodaría a los consumidores.
César Cerrudo es el director de tecnología de la empresa de seguridad informática. Laboratorios IOActivos .