Shellshock: una nueva vulnerabilidad mortal que podría devastar Internet (actualizado)

Algunos racks de servidores

Actualizado a las 8:10 am, 29 de septiembre: Se ha encontrado otra vulnerabilidad de ejecución remota de código en Bash. No está relacionado con la primera vulnerabilidad de Shellshock, pero es esencialmente el mismo trato: es muy fácil de explotar y permite a los atacantes ejecutar código arbitrario en una computadora remota. La versión parcheada de Bash que solucionó la vulnerabilidad inicial de Shellshock (CVE-2014-6271) no lo protege contra esta nueva vulnerabilidad (CVE-2014-6277 y CVE-2014-6278). La historia original, que aún es precisa e informativa, permanece a continuación.

Historia original

Hay una nueva vulnerabilidad de día cero que paraliza Internet en la ciudad llamada Shellshock. Afecta potencialmente a alrededor de la mitad de todos los sitios web en Internet (alrededor de 500 millones) y a millones o miles de millones más de dispositivos conectados a Internet, como enrutadores, teléfonos inteligentes. A diferencia de Heartbleed, que era bastante difícil de explotar correctamente, Shellshock se puede explotar con solo un par de líneas de código, lo que le da a casi cualquier persona la capacidad de ejecutar código arbitrario en una computadora afectada. En términos simples, esto significa que ahora es relativamente sencillo para cualquier persona obtener acceso no autorizado a una gran parte de las computadoras del mundo y descargar / extraer una amplia variedad de detalles confidenciales. Shellshock también tiene el potencial de convertirse en un gusano, una pieza de código autorreplicable que se propaga automáticamente a todos los sistemas vulnerables a Shellshock, lo que puede causar un daño incalculable.

Pero antes de adelantarnos con varios escenarios apocalípticos (y Shellshock realmente podría ser uno de los peores errores que jamás haya aparecido en Internet), analicemos lo que Shellshock en realidad es primero.



¿Qué es Shellshock?

En términos técnicos, Shellshock es una vulnerabilidad en un programa de Linux (o * nix) llamado Bash, con la designación formal deCVE-2014-6271. En palabras de la agencia NIST del gobierno de EE. UU.:

GNU Bash a través de 4.3 procesa cadenas finales después de las definiciones de funciones en los valores de las variables de entorno, que permite a atacantes remotos ejecutar código arbitrario a través de un entorno diseñado, como lo demuestran los vectores que involucran la función ForceCommand en OpenSSH sshd, los módulos mod_cgi y mod_cgid en el servidor HTTP Apache, scripts ejecutados por clientes DHCP no especificados y otras situaciones en las que la configuración del entorno ocurre a través de un límite de privilegios desde Bash ejecución, también conocido como 'ShellShock'. (Énfasis añadido)

En términos más simples y no técnicos, Shellshock es una vulnerabilidad en un programa muy popular, Bash, que está presente en casi todas las computadoras y dispositivos basados ​​en Linux del mundo. Si alguna vez ha utilizado la 'línea de comandos' en un sistema similar a Unix (Linux, Mac OS X, Android), entonces probablemente estaba escribiendo comandos en un shell Bash. Esta vulnerabilidad, que se puede aprovechar a través de varias rutas (al menos Apache y DHCP), permite que un atacante ejecute código directamente en el sistema vulnerable. Es muy, muy fácil crear estos ataques; es básicamente tan simple como escribir unas pocas líneas del script de shell Bash.

Volcar el contenido de / etc / passwd en un sistema Linux, a través del exploit Shellshock Bash

Volcar el contenido de / etc / passwd en un sistema Linux, a través del exploit Shellshock Bash

¿Quién o qué es vulnerable a Shellshock?

Bash, o GNU Bash para dar su nombre propio, fue creado hace 25 años como un reemplazo gratuito del shell Bourne de Unix. Se distribuye con casi todos los tipos de Linux y es el shell predeterminado para Mac OS X. Todas las versiones de Bash durante los últimos 25 años, hasta la versión 4.3 inclusive, son vulnerables a la vulnerabilidad Shellshock.

Leer: La NSA conocía y explotó el error Heartbleed durante 'al menos dos años'

Sin embargo, el mero hecho de tener Bash instalado en un sistema no lo hace vulnerable; el atacante necesita alguna forma de acceder a Bash a través de Internet. En este caso, la ruta más fácil es a través de Apache, que tiene permiso, a través de mod_cgi, para establecer variables de entorno. Estas variables se utilizarían normalmente para cookies, URL de referencia y otra información de 'encabezado'. La vulnerabilidad Shellshock permite que se ejecuten comandos reales, en lugar de simplemente configurar algunas variables inofensivas. OpenSSH (sshd) también puede proporcionar una ruta a través de Bash, pero aún se están explorando varios exploits.

Para probar si un sistema es vulnerable, puede intentar abrir un shell / terminal y ejecutar este comando:

env X = '() {:;}; echo puede ser vulnerable '/ bin / bash -c' echo hola '

Logotipo de HeartbleedSi aparece 'usted podría ser vulnerable', su sistema tiene una versión explotable de Bash instalada. Sin embargo, esto no significa que su sistema sea vulnerable. Apple ya ha emitido un comunicado diciendo que normal Usuarios de OS X, a pesar de tener una versión vulnerable de Bash, no son vulnerables. La situación es probablemente similar para Android: Tiene una versión vulnerable de Bash, pero en realidad explotarla probablemente sea bastante difícil. No creo iOS es vulnerable.

Si ejecuta un Servidor web Linux / * nix Apache, o si usa el servidor de otra persona que también tiene Apache instalado, es vulnerable. Esté atento a una versión actualizada de Bash u otras mitigaciones. Por ahora, no hay realmente una mitigación fácil, a menos que sepa con certeza que no tiene ningún sitio web que use CGI y simplemente pueda deshabilitar mod_cgi. La mayoría de las distribuciones principales han publicado una versión parcheada de Bash: use apt-get, yum, etc. para obtenerla.

Hasta gente normalestán preocupados, el problema más urgente es que su enrutador DSL / cable también puede ser vulnerable (la mayoría de los enrutadores de consumo ejecutan una versión integrada de Linux y un servidor web compatible con CGI), y si un pirata informático puede acceder a su enrutador, entonces puede probablemente obtenga acceso a otros recursos en su red local (carpetas compartidas y similares).

Si es una de las 18 personas del mundo que usa Linux como sistema operativo de escritorio, y también ejecuta el servidor web Apache, probablemente sea vulnerable.

De manera bastante divertida, este es uno de los pocos casos en los que Ventanas no es vulnerable (a menos que tenga Bash instalado a través de Cygwin, pero muy pocas personas lo hacen). Por supuesto, es posible que aún tenga problemas si tiene máquinas con Windows que comparten una red con algunas cajas de Linux vulnerables.

Copyright © Todos Los Derechos Reservados | 2007es.com