Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/09/2014
#Shellshock, la greu vulnerabilitat en Bash -i tot el que has de saber
Molt s’està parlant des de fa un parell de dies de Shellshock, una greu vulnerabilitat en Bash. No obstant això, és probable que molts usuaris no hagen sentit parlar mai de Bash ni sàpien com s’usa o quines implicacions té esta fallada en els sistemes que usen diàriament.
Què és Bash?
Bash és l’intèrpret de comandaments més utilitzat en GNU/Linux i molts altres sistemes basats en UNIX com Android i Mac OS X. La seua tasca consistix a interpretar els comandaments que un usuari executa, iniciant i detenint processos, per exemple. Així és com els administradors de sistemes manegen habitualment els seus servidors, encara que sense deixar de costat a la sempre còmoda interfície gràfica a base de finestres.
No obstant això, Bash és molt més que un simple intèrpret de comandaments. També permet executar operacions en un servidor GNU/Linux que podríem considerar crítiques, operacions que van des de la planificació de tasques a les sempre necessàries actualitzacions del sistema i les seues aplicacions.
Quins dispositius utilitzen Bash?
Com a part de molts sistemes basats en UNIX, Bash està present en una gran quantitat de dispositius que utilitzem diàriament, no sols servidors i ordinadors d’escriptori o portàtils (ja utilitzen alguna distribució de GNU/Linux o Mac OSX). Pensem per exemple en els milions de dispositius Android. També es pot usar un intèrpret de comandaments en ells encara que és quelcom que pocs usuaris fan.
Si tenim en compte altres dispositius com els routers o tot tipus de dispositius que conformen l’Internet de les Coses, el nombre d’estos augmenta fins una quantitat molt elevada. Sistemes d’entreteniment, Smart TVs, electrodomèstics com neveres o inclús sistemes domòtics solen incorporar com a sistema operatiu alguna variant d’UNIX que normalment conté Bash.
En què consistix la vulnerabilitat Shellshock?
Primer aclarirem que el nom oficial d’esta vulnerabilitat és GNU Bash Remote Code Execution Vulnerability (CVE-2014-6271) i està considerada greu, tal com va succeir amb Heartbleed, ja que permetria l’execució remota de codi i així obtindre el control d’un ordinador.
El problema amb esta vulnerabilitat es produïx perquè Bash permet declarar funcions (uma cosa que tampoc és estranya i entra dins del normal), però estes no es validen de forma correcta quan s’emmagatzemen en una variable. En altres paraules: Bash es passa de la ratlla, extralimita les seues funcions i continua executant codi a pesar d’haver finalitzat de processar la funció.
Es pot utilitzar esta vulnerabilitat amb fins maliciosos?
Totes les vulnerabilitats poden usar-se amb fins maliciosos en major o menor mesura. En estos moments ens trobem en la fase d’esbrinar què pot trencar-se amb Shellshock. Ja sabem que aquells scripts CGI corrent en Apache poden veure’s afectats, però en teoria també poden crear-se molts altres exploits que podrien ser aprofitats per atacants i ser inclosos en exploit kits.
Des d’Alien Vault han començat a observar atacs que intenten aprofitar esta vulnerabilitat, principalment atacs que intenten detectar si un sistema és vulnerable llançat un comando ping i esperant la resposta. No obstant això, també han observat que alguns atacants estan usant Shellshock per a instal·lar dos tipus de codi maliciós en els sistemes vulnerables.
Estes primeres mostres de programari maliciós se centren a recopilar informació dels sistemes infectats però també els connecten a un Centre de Comandament i Control (C&C) en poder dels atacants, permetent-los llançar comandaments remots i provar un atac de força bruta contra les contrasenyes d’usuaris amb privilegis, i obtindre així el control del sistema.
Este és només un exemple d’atacs que ja s’estan produint, però només són la punta de l’iceberg del que podríem veure en les pròximes setmanes si no es prenen les mesures adequades.
Com se soluciona este problema?
Una vegada coneguda la vulnerabilitat i les seues conseqüències, molts usuaris estaran preguntant-se com els afecta ells. Per si encara queda algun despistat que es pregunta, Windows no es veu afectat, però açò no és excusa per a abaixar la guàrdia ja que és molt probable que utilitze algun altre dispositiu que siga vulnerable com routers, mòbils Android o un altre tipus de dispositius connectats a internet i dels quals desconega el seu sistema operatiu -encara que molt probablement siga una variació de GNU/Linux o estiga directament basat en UNIX.
La majoria de distribucions importants de GNU/Linux han llançat o estan a punt de llançar actualitzacions tant per a sistemes d’escriptori com a servidors que solucionen el problema, per la qual cosa, si s’encarreguen de tindre els seus sistemes actualitzats, no haurien de tindre més dificultats.
El verdader problema radica en aquells sistemes que no s’actualitzen, bé perquè no hi ha ningú que els mantinga o perquè es tracta de sistemes incrustats en dispositius que no estan preparats per a rebre actualitzacions o el fabricant ha deixat de publicar-les per a certs models.
La majoria d’estos equips estan i continuaran estant connectats a Internet durant un bon temps, la qual cosa els convertix en un objectiu molt atractiu per als delinqüents. En eixe cas, els usuaris més avançats poden dedicar unes hores d’esforç a revisar el firmware del router, per exemple, i instal·lar un alternatiu que siga compatible.
Conclusió
La publicació d’esta vulnerabilitat ha servit perquè una gran quantitat d’usuaris tanquen una porta d’entrada als atacants que portava molt de temps oberta. No obstant això, queda encara per resoldre la problemàtica sobre com actualitzar els milions de dispositius que conformen “l’Internet de les coses” i que continuaran sent potencialment vulnerables durant un temps.
Este post ens arriba de la mà d’Ontinet, Distribuïdor d’ESET a Espanya.