La seria vulnerabilidad de software llamada “Shellshock” o “Bash Bug”, que afecta a una amplia gama de equipos y dispositivos digitales, muchos de los cuales requerirán la instalación de un parche para evitar la filtración de datos o que los dispositivos queden bajo el control de personas maliciosas. Los sistemas afectados incluyen equipos con Mac OS X, muchos servidores web y algunos dispositivos domésticos para la administración de redes, como los routers. Este post ofrece algunos consejos preliminares sobre lo que conviene hacer como respuesta a la vulnerabilidad Shellshock y proporciona vínculos a recursos más detallados que resultarán útiles para quienes tengan interés en los aspectos más técnicos.

[Actualización 30/09 10:00 hs.: Apple ha lanzado "OS X bash update 1.0" para proteger a los sistemas Mac OS X de este problema. Actualmente está disponible para Mavericks, Mountain Lion, y Lion.]

[Actualización 30/09 10:00 hs.: Nuevo artículo disponible en la Base de Conocimiento de ESET: ¿Qué es Shellshock? ¿ESET me protege?]

¿Cuál es el problema?

Su nombre oficial es vulnerabilidad en GNU Bash para la ejecución de código remoto (CVE-2014-6271) y tiene graves repercusiones, a la par de Heartbleed, ya que es capaz de posibilitar que un atacante tome el control de un equipo determinado. Naturalmente, todo esto le puede sonar irrelevante al usuario de Internet promedio que nunca escuchó del programa Bash.

Por eso, dejaré que mi colega Cameron Camp, un usuario de Linux con experiencia, explique la situación en cinco puntos principales. Luego daremos algunos consejos para los distintos grupos de personas afectadas por este error.

Ésta es la explicación de Cameron:

1. Bash es la abreviatura de Bourne-again shell ("el shell de Bourne otra vez") y es la interfaz de línea de comandos utilizada por la mayoría de usuarios de sistemas Linux y, a veces también, de servidores y equipos Mac/BSD. Es decir que Bash es básicamente la forma primaria en que le envías comandos a tu servidor Linux, habilitas y deshabilitas opciones, inicias servidores web, y demás. Es lo que usas para manejar tu servidor el 90% de las veces. Lo que tu escritorio es para tu equipo Windows o Mac, lo es Bash para servidores. Pero Bash es aún más que eso: es el mecanismo esencial mediante el cual gran parte del servidor Linux se inicia y controla las operaciones que ejecuta todo el tiempo, como tareas de programación, actualizaciones, y similares.

2. Bash no se ejecuta únicamente en servidores Linux normales: también está cargado en un porcentaje significativo de routers domésticos y medidores, aparatos y automóviles inteligentes, y otras cosas que uno ni siquiera pensaría que funcionan con Linux. Básicamente, una gran cantidad de dispositivos que enrutan el tráfico de Internet funcionan con Bash. Esto se extiende a los centros principales de enrutamiento de datos e instalaciones similares de todo el mundo.

3. En este preciso momento nos encontramos al comienzo del ciclo del descubrimiento de la vulnerabilidad y la pregunta es: "¿qué cosas puede afectar?". Ya sabemos que puede inhabilitar scripts CGI que se ejecutan en servidores Apache. Hasta acá está claro, pero cuando alguien convierte a esta vulnerabilidad en un arma, surgen montones de otros exploits antes de que las personas tengan la oportunidad de instalar los parches correspondientes en sus dispositivos. Ya se están revisando algunas vulnerabilidades y, sin duda, seguirán muchas más. ¡Recuerda que algunos servidores BSD/Linux no se han reiniciado en cinco años o más! Por eso suelen retrasarse con las actualizaciones para corregir problemas de seguridad.

4. En este momento estoy observando el tráfico de mensajes de ciertos grupos web confiables y noto que los comentarios aparecen a raudales con personas que comparten datos entre sí sobre intentos de ataques de exploits activos. Esto está muy bien, pero dichos grupos son demasiado técnicos, por lo que la información debe traducirse para el consumo del público general y acompañarse por consejos prácticos.

5. Finalmente, en palabras simples, aprovechar las vulnerabilidades de Bash significa que le puedes decir a un servidor que ejecute algo sin que realmente se autentique, lo que sería algo similar a decirle a Bash que haga algo sin haber siquiera iniciado la sesión: esto definitivamente encaja en la definición de "algo muy malo".

A continuación indicamos cómo creemos que esta vulnerabilidad puede afectar a distintos grupos de personas:

  • Usuarios de Windows: tus equipos están bien pero podrías correr riesgos de infección por códigos maliciosos al visitar servidores web comprometidos debido al aprovechamiento de la vulnerabilidad Shellshock. Ahora es un buen momento para asegurarte de que tu antimalware se encuentra actualizado.
  • Usuarios de Mac: lamentablemente, el Bash que viene con Mac OS X será vulnerable hasta que se publique una revisión. Estamos esperando el parche de Apple. Permanece atento a su lanzamiento e instálalo de inmediato. También es un buen momento para asegurarte de que tu antimalware se encuentra actualizado.
  • Usuarios domésticos de Internet, operadores de redes domésticas: aún no contamos con la lista definitiva de los dispositivos afectados. Por el momento, asume que el tuyo puede estarlo y espera las actualizaciones de tu proveedor de servicios de Internet (ISP) o del fabricante del router mientras sigues los sitios como We Live Security para estar al tanto de las amenazas activas que se aprovechan de esta vulnerabilidad. Si prefieres ser proactivo, lee el foro de soporte para tu ISP o proveedor del router. Envíales un correo electrónico o llámalos por teléfono para averiguar si tu dispositivo está afectado. Además, revisa que tu antimalware esté actualizado.
  • Oficinas pequeñas/domésticas y PYME: Lo mismo que se aconseja arriba si te encargas tú mismo de la seguridad. Si en cambio tienes un Proveedor de servicios gestionados, habla con él.
  • Departamentos de TI: Revisa todos los sistemas que usen Bash y sigue los pasos adecuados para resolver el problema como informen las distribuciones Linux, ya sea RedHat, Debian o Ubuntu. Hay mucha información al respecto en esta página de NGINX y en esta página de Cisco.
  • Todo el que tenga un sitio web alojado en una empresa de hosting: consulta su página de soporte para ver las novedades y las actualizaciones.
  • Todo el que tenga un servidor privado virtual: consulta la página de soporte de tu proveedor. Es probable que tengas que abordar este asunto tú mismo, en cuyo caso te conviene consultar con un experto en el tema.

Estamos monitoreando los desarrollos relacionados con la vulnerabilidad de Shellshock Bash y seguiremos actualizando las novedades en próximas publicaciones.

Si deseas obtener detalles más técnicos, consideramos que los siguientes recursos son muy útiles:

Un agradecimiento especial a Cameron, no solo por clarificar varios puntos técnicos, sino también por dedicarse a la comunidad de Linux enviando parches y revisiones.

Traducción del post de Stephen Cobb en We Live Security.