Shellshock fallo de seguridad que puede ser más peligroso que Heartbleed

[chepito123]

Bash es la utilidad de línea de comandos utilizada por la mayoría de los sistemas operativos Unix (entre ellos OS X), así como Linux, y que por tanto se encuentra no sólo en los ordenadores de escritorio sino también en la práctica mayoría de servidores, dispositivos de almacenamiento en red, cámaras IP y otra serie de aparatos; entre ellos los router.

Ahora se ha descubierto un bug que se remonta 22 años atrás y que está relacionado con el modo en el que Bash maneja la definición de las variables de entorno; algo que puede derivar en la ejecución remota de código arbitrario y, por tanto, realizar todo tipo de operaciones sobre el equipo atacado como el escalado de privilegios.

Una de las principales preocupaciones, una vez que el bug ha sido descubierto por Stephane Chazelas, reside en el hecho de que la práctica mayoría de los servidores web están basados en Unix y, por tanto, cuentan con Bash. Esto implica que los guiones CGI que utilicen o invoquen a Bash en algún modo son vulnerables a la ejecución remota de código. Adicionalmente, servicios como OpenSSH, Telnet y ciertos clientes DHCP son vulnerables a Bash.

Dicha vulnerabilidad está explicada con detalle por Andy Ellis en el sitio web de Akamai. Por otra parte, si bien ya se han publicado actualizaciones de Bash que resuelven dicho problema de seguridad para Red Hat Enterprise Linux, CentOS (versiones 5 a 7), Ubunto 10.04 LTS, 12.04 LTS y 14.04 LTS, así como Debian, en el caso de OS X Apple aun no ha publicado la correspondiente actualización.

http://www.macsoluciones.com/noticias/s-o/2142-un-bug-severo-de-bash-afecta-tambien-a-los-usuarios-os-x


http://www.abc.es/tecnologia/redes/20140925/abci-bash-seguridad-fuerte-heartbleed-201409251156.html

Han descubierto un nuevo bug de seguridad dentro del un software de Linux conocido como «Bash» y que puede suponer una amenaza mayor para los usuarios que el error «Heartbleed».

Bash es el software utilizado para controlar el indicador de comandos en muchos ordenadores Unix. Según han explicado en expertos en seguridad, los hackers pueden explotar un bug en Bash y tomar el control completo de un sistema.

El Departamento de seguridad nacional de Estados Unidos para emergencias cibernéticas (US-CERT) emitió una alerta diciendo que la vulnerabilidad afecta sistemas operativos con Unix, como Linux y o Mac OS X de Apple.

El fallo de «Heartbleed» permitió hackers para espiar a los equipos pero no tomar el control de ellos, explica Dan Guido, director ejecutivo de la firma de seguridad Trails of Bits. «El método de explotar esta cuestión también es mucho más simple. Puedes cortar y pegar una línea de código y obtener buenos resultados», ha dicho.

Tod Beardsley, un gerente de ingeniería en materia de ciberseguridad en la firma Rapid7, ha advertido que este error ha sido clasificado con un «10» en la escala de gravedad por el gran impacto que puede causar, pero clasificado como «bajo» en grado de explotación. Esto último quiere decir que los hackers pueden lanzar ataques de forma muy sencilla.

«Utilizando esta vulnerabilidad, los atacantes pueden potencialmente asumir el control del sistema operativo, acceder a información confidencial, realizar cambios, etcétera», ha dicho Beardsley. «Las personas con sistemas que utilicen Bash deberán realizar un parche inmediatamente», ha recomendado.

US-CERT aconseja a los usuarios de ordenadores que busquen actualizaciones de sistemas para sus equipos a través de los fabricantes de software. Desde Linux han señalado que han realizado un parche de seguridad. Desde Apple no se han pronunciado. Un investigador de Google ha señalado que aunque se haya instalado un parche de seguridad, algunos equipos con filtros podrán seguir siendo vulnerables.

http://www.cnnexpansion.com/tecnologia/2014/09/25/bash-la-amenaza-informatica-del-internet-de-las-cosas

Ha aparecido un nuevo ‘bug’ o error informático, de nombre Bash, una clara lección de por qué los dispositivos conectados a Internet son inherentemente inseguros.

Expertos en seguridad informática han descubierto un fallo en la manera en que muchos dispositivos se comunican por Internet. En su forma más básica, permite a alguien hackear cada dispositivo en tu hogar, negocio o edificio gubernamental a través de algo tan simple como una bombilla o foco.

Gracias a este fallo, los delincuentes potencialmente pueden acceder a las computadoras o robar información privada y del Gobierno.

El problema se extiende a una gran cantidad de ordenadores conectados a Internet ubicados en cualquier sitio, desde tiendas a hospitales y escuelas.

Y es más grave si eres uno de esos amantes de la tecnología que compran electrodomésticos “inteligentes” con conexión a Internet. Pero no se limita a ese círculo, pues un número cada vez mayor de empresas y gobiernos utilizan dispositivos inteligentes (como cámaras) dentro de sus redes internas.

¿Por qué temerle a Bash?
Porque es omnipresente. De acuerdo con la compañía de software de código abierto Red Hat, el defecto afecta a cualquier dispositivo que utiliza el sistema operativo Linux; allí entra de todo, desde calculadoras a automóviles. Pero también afecta a las Macs de Apple y a algunos equipos Android, Windows e IBM.

Emitiendo una advertencia pública, los investigadores de Red Hat clasificaron la gravedad del bug informático como “catastrófica”.

No todos los dispositivos conectados son vulnerables. Pero es difícil para la persona promedio averiguar si, por ejemplo, su cámara de seguridad doméstica está en riesgo. Y es poco probable que las empresas y las instituciones públicas actualicen todos y cada uno de los ordenadores que emplean.

Aunque el problema es nuevo, ya han sido atrapados hackers tratando de explotar el fallo para establecer redes de bots, mediante el secuestro de un gran número de computadoras. Una vez que las controlan, utilizan estos ejércitos de esclavos electrónicos para distribuir malware o atacar sitios web.

Si este fallo resulta ser algo como el bug “Heartbleed” descubierto a principios de este año, el daño podría pasar desapercibido durante meses. Y cuando por fin nos demos cuenta, podría ser desastroso.

En el caso de Heartbleed, los hackers lograron penetrar en la red de un hospital y robaron 4.5 millones de registros de pacientes, incluidos sus números del Seguro Social.

¿Cuál es la única solución para Bash?
Esperar a que un parche esté disponible y actualizar todos los dispositivos que tengamos. Pero eso es lo ideal, la realidad es otra. Las empresas no suelen actualizar con periodicidad su flota de dispositivos, y el consumidor rara vez presta atención a ese tipo de cosas.

¿Cómo funciona Bash?
Así nos lo explica el experto en seguridad cibernética Robert Graham:

El problema deriva de un defecto en el “bash”, un tipo de programa informático basado en lo que se denomina un “shell”. Un “shell” traduce o interpreta tus comandos al sistema operativo de un dispositivo. Imagínalo como un intermediario.

Numerosos dispositivos conectados a Internet utilizan el shell de bash para ejecutar comandos, como “encender” y “apagar”. Por lo general, un dispositivo que se comunica utilizando un shell de bash también busca información adicional, como qué tipo de navegador o dispositivo estás usando.

Y ahí es donde radica el problema. Si un hacker introduce código malo (bad code) en estos datos adicionales, pueden burlar las defensas de seguridad de un dispositivo.

Una bombilla “inteligente” conectada a Internet de repente se convierte en un punto de partida para hackear todo lo demás protegido por tu firewall de red, explica Graham. Podría ser el ordenador de tu casa, las terminales de pago de una tienda, o bases de datos sensibles de una oficina gubernamental.

“Este es el problema con la ‘Internet de las cosas’. Estamos conectando todos estos aparatos a Internet sin pensar en aplicar parches en el futuro”, dijo Graham.

La vulnerabilidad fue descubierta por el francés Stéphane Chazelas, un gerente de TI que trabaja para un fabricante de software en Escocia.

El ingles no es mi fuerte pero en el siguiente link creo que explican mejor el problema y las soluciones

https://blogs.akamai.com/2014/09/environment-bashing.html

[chepito123]

http://www.abc.es/tecnologia/redes/20140926/abci-shellshock-bash-fallo-internet-201409261656.html

Durante esta semana se desveló el hallazgo de una nueva vulnerabilidad de seguridad. más peligrosa que el HeartBleed. Le han llamado Shellshock ó Bash, debido al sistema en el que se encuentra, y afecta potencialmente a muchos ordenadores

Mark Nunnikhoven, ingeniero de seguridad de Trend Micro señala que este bug tiene un mayor alcance debido a un «programa de código abierto muy común que se llama bash. Bash es un intérprete de comandos comúnmente implementado en Linux, BSD y Mac OS X».

La peligrosidad de este fallo reside en que es muy sencillo sacar provecho de él. Un pirata informático con poco conocimiento técnico lo puede explotar. «Debido al poder de LINUX, más de la mitad de los servidores de Internet, teléfonos Android y la mayoría de los dispositivos de la Internet de las Cosas (IoT), el alcance de Shellshock es muy amplio», ha dicho Nunnikhoven a través de un comunicado. Se estima que un 51% de los servidores web de todo el mundo funcionan con Linux.

Bitcoin también se puede ver afectado por este error ya que Bitcoin Core es controlado por BASH, por lo que sistema de minería podrían ser víctimas de atacantes. Desde Apple han asegurado que la gran mayoría de usuarios de Mac no están en riesgo de sufrir el error Shellshock.

Desde Trend Micro destacan consejos básicos, dependiendo del tipo de usuario que sea:

Usuario final: vigile los parches y actualizaciones que aparezcan en su equipo (oficiales) y aplíquelos inmediatamente

Administradores de TI: si utilizan Linux, deshabiliten las secuencias de comandos BASH inmediatamente

Operadores de páginas web: si BASH está en el scrip, aplique el parche lo antes posible, o reescriba la secuencia de comandos lejos de BASH

Clientes co-hosting: pregunte a su proveedor que está haciendo para remediar y aplicar parches en consecuencia

Más recomendaciones
Linux ya ha lanzado un parche de seguridad que está disponible para las distribuciones más afectadas. Desafortunadamente, el parche aborda de forma parcial de vulnerabilidad. Siguen trabajando en una versión completa.
—Si usted es el usuario final, tenga cuidado con los parches para su Mac, su teléfono Android, u otros dispositivos que pueda tener.
—Si usted está trabajando con los sistemas Linux, instale parches BASH inmediatamente.
—Si está ejecutando servidores web Linux / APACHE que usan scripts BASH, considere la reorganización de sus scripts para usar algo que no sea BASH hasta que un nuevo parche esté disponible.
—Si usted es el cliente de un servicio alojado, esté en contacto con ellos para saber si son vulnerables y conocer sus planes para resolverlo en caso de que lo sean.

[madara]

Hey gracias por la informacion, eso de escalamiento de privilegios si que esta fregado 

[henry15]

Hola yo como soy nuevo en eso de LInux lo uso en una pc, pero no entiendo mucho sobre eso por q soy novato 

A q tomar alguna medida ante esto??? q se puede hacer??

[g00mba]

Hola yo como soy nuevo en eso de LInux lo uso en una pc, pero no entiendo mucho sobre eso por q soy novato 

A q tomar alguna medida ante esto??? q se puede hacer??

para empezar, leer lo que puso el muchacho ahi arriba.

Ahi sale claramente que es lo que tenes que hacer: tener bien parcheada tu distro y ya.