Atención a la vulnerabilidad ‘Shellshock’

Atención a la vulnerabilidad ‘Shellshock’

El investigador de seguridad Stephane Chazelas descubrió hace poco una importante vulnerabilidad en bash relacionada con la interpretación de las variables de entorno. Esta pequeña fisura propiciaba una concatenación de funciones que daba lugar a una importante escalada de privilegios y ejecución de comandos arbitrarios en la shell del sistema afectado. Esta es la base de una vulnerabilidad llamada ‘Shellshock’, de reciente aparición y de efectos devastadores para los sistemas de información de las empresas. Su impacto es muy grave en el sistema ya que envuelve la escalada de privilegios, la inyección de scripts y también posiblemente el root.

No han tardado en aparecer en la red los primeros escáneres que tratan de aprovecharse de los servidores más vulnerables para lanzar ataques de DoS/DDoS, filtrar información, inclusión en botnets, etc. El vector de ataque de ‘Shellshock’ es remoto y las compañías y organizaciones pueden ver afectados sus servidores de forma automática y sin poder de reacción. Son ataques indiscriminados y debemos estar preparados para contrarrestarlos.

El experto polaco en ataques cibernéticos, Michal Zalweski, aún no ha publicado detalles técnicos de Shellshock, pero sí podemos decir que la CVE oficial es CVE-2014-7261 y que también se han descubierto en los últimos días otras vulnerabilidades relacionadas: CVE-2014-7169, CVE-2014-7186, CVE-2014-7187 y CVE-2014-6277. Así que estaremos muy atentos a la evolución de esta amenaza en próximas fechas.

Han surgido cuatro parches consecutivos para el bash en los sistemos GNU/Linux, da igual la versión, NetBSD y FreeBSD. En vez de esperar los posibles parches que desarrollen los creadores del bash, en NetBSD y FreeBSD se han deshabilitado mediante patches, el SO que proviene de ‘Shellshock’. Sin embargo, los SO de Apple MacOSX no están afectados.

Pensamos que la solución está en actualizar el bash a la última versión desde la paquetería de distribución. Si queremos investigar si un sistema es vulnerable a ‘Shellshock’, podemos ejecutar esto:

Si nos aparece el mensaje “This is a test” y “vulnerable”, podemos estar seguros que el sistema ha ejecutado los comandos de la vulnerabilidad y debemos utilizar los parches disponibles. Hay que tener en cuenta que existen variables de la vulnerabilidad que funcionan con otros códigos y el resultado podría ser engañoso, por tanto aunque tengamos el sistema con parches debemos tomar con cautela el resultado que nos ofrece el test que estemos ejecutando. Para estar seguros podemos descargar un script con git para testear todas las variantes conocidas de la vulnerabilidad. Para ello debemos proceder de la siguiente manera:
Instalamos el git:

o # apt-get install git (Debian Based)
o # yum install git (CentOS, Fedora, etc)
o # yast –install git (SuSE)

Luego descargamos el script actualizado:
o # git clone https://github.com/hannob/bashcheck/
– Ejecutar el script
o # cd bashcheck
o # ./bashcheck

Pero para estar cien por cien seguros, lo mejor es actualizar en el instante la última versión del script, ya que continuamente surgen novedades de la vulnerabilidad y sus posibles variantes, de ahí la importancia de mantener el script y al bash actualizado.

Otra recomendación importante es deshabilitar en los servidores Apache y NGiNX las características de SSH y scripts CGI de los servidores web, ya que pueden ser posibles vectores de ataque de la vulnerabilidad y hay que estar preparados para hacerles frente.

Desde Secure&IT seguiremos muy atentos a la evolución de esta importante vulnerabilidad que puede afectar seriamente los sistemas de información de las empresas si no se reaciona con rapidez y eficacia.

Facebooktwittergoogle_pluspinterestlinkedinby feather

Comments

Comentarios desactivados