Qué es la vulnerabilidad de Bash y cómo nos afecta

La vulnerabilidad de Bash que afecta Unix, Linux y los sistemas operativos OS X se ha difundido por todo Internet; algunos expertos afirman que es mucho más peligrosa que Heartbleed de OpenSSL.

Bash

Esta semana se descubrió la vulnerabilidad más impactante desde el caso Heartbleed de Open SSL, que afecta a Bourne again Shell (Bash). Aunque no se sabe aún cuánto de grave es exactamente la situación, ya se habla mucho de la vulnerabilidad de Bash y seguro que en la tele habéis oído algo al respecto en las noticias.

¿Qué es Bash?

Bash es una especie de lenguaje de scripting y un programa shell desarrollado por GNU Project en 1989. Permite a los usuarios insertar comandos que luego se ejecutan a nivel de sistema. En pocas palabras, emite e interpreta comandos. Si queréis saber algo más sobre el tema, os aconsejamos visitar la página web de GNU Bash.

Bash se encuentra en la mayor parte de los sistemas Unix, en Linux y también en el sistema operativo de Apple OS X, que toma en préstamo muchos elementos de Unix y Linux. Aparte de esto, Bash se encuentra en muchísimos servidores Web y en dispositivos para el hogar como routers y módems, así como dispositivos para la conexión a Internet.

La vulnerabilidad de Bash ha sido descubierta por Stephane Chazelas, administrador de red y telecomunicaciones para Unix y Linux en la empresa de seguridad Akamai. Como podéis imaginar, se trata de una vulnerabilidad que circula desde hace bastante tiempo, tal vez desde hace 20 años. Igual que Heartbleed, esperemos que Chazelas haya sido el único en encontrar el bug, pero nunca lo sabremos con seguridad.

¿Cómo nos afecta la vulnerabilidad de Bash?

Seguramente en poco tiempo aparecerá un exploit “in the wild” para la vulnerabilidad de Bash. Los exploits permitirían a un cibercriminal juntar, en remoto, un archivo ejecutable malicioso a piezas de código o de script que se ejecutarían a través de Bash. En otras palabras, después de haber creado un exploit eficaz, un cibercriminal podría tomar el control total de los sistemas afectados por la vulnerabilidad.

Cuando les preguntamos si el bug de Bash podría ser el “nuevo Heartbleed”, nuestros amigos del Global Research and Analysis Team (GReAT) de Kaspersky Lab nos contestaron lo siguiente:

“Pues es una vulnerabilidad mucho más fácil de explotar que Heartbleed. Además, en el caso de Heartbleed, los cibercriminales sólo podían robar datos de la memoria, con la esperanza de encontrar algo interesante. Con la vulnerabilidad de Bash, por otro lado, pueden tomar el control del sistema entero. El peligro es más evidente”.

Los investigadores de Kaspersky Lab imaginaron también algunas situaciones en las que se podría utilizar la vulnerabilidad de Bash para robar datos bancarios y dinero. Es posible que un cibercriminal pueda servirse de esta vulnerabilidad para robar las credenciales bancarias desde un ordenador de un particular o atacar el servidor de un servicio de banco online para intentar robar números de cuenta y otra información.

Tal vez el llamamiento del United States Computer Emergency Readiness Team os da una idea más clara de la gravedad de la situación:

“Esta vulnerabilidad ha sido clasificada como de “alto impacto” en una escala de 10 según el Common Vulnerability Scoring System (CVSS) y  de nivel “bajo” por grado de complejidad, lo que significa que se puede ejecutar muy fácilmente. Este fallo permite a los cibercriminales crear variables de entorno específicas que contienen comandos arbitrarios; luego, estos comandos serán ejecutados por los sistemas vulnerables. Se trata de una vulnerabilidad muy peligrosa debido a la gran difusión de Shell Bash, un programa presente en muchas aplicaciones y que se utiliza por razones diferentes”.

En resumen: el bug de Bash podría tener un gran impacto y, además, se trata de una vulnerabilidad fácil de explotar. Este último aspecto es lo que lo diferencia de Heartbleed, que tenía un alto impacto pero era difícil de explotar.

¿Cómo protegerse?

Lo único que se puede hacer para protegerse (aparte de abandonar Internet para siempre), es instalar las actualizaciones de las aplicaciones afectadas en cuanto estén disponibles. Para los sistemas operativos de ordenadores de mesa y portátiles, serán ellos los que publicarán los parches.

“Es una vulnerabilidad mucho más fácil de explotar que Heartbleed. Además, en el caso de Heartbleed, los cibercriminales sólo podían robar datos de la memoria, con la esperanza de encontrar algo interesante. En el caso de la vulnerabilidad de Bash, pueden tomar el control del sistema entero. El peligro es más evidente”.

Por lo que se refiere a módems, routers y otros dispositivos para el hogar, no hay una solución única. Lo más probable es que las empresas que producen estos aparatos publiquen una actualización del firmware y, en la mayor parte de los casos, estas actualizaciones no se instalan solas, tiene que hacerlo el usuario.

La cuestión, como nos explicaron los investigadores de GReAt de Kaspersky Lab, es que Bash es tan versátil y se usa en tantas situaciones diferentes que los parches podrían solucionar el problema hasta cierto punto. Así que, deshacerse de la vulnerabilidad de Bash comporta recorrer un camino largo,  a base de pruebas y errores: algunos investigadores y expertos incluso han definido como “incompleta” la primera ronda de los parches de Bash.

Otro problema es que los sistemas Unix se encuentran prácticamente en cualquier sitio, y esto significa que Bash también. Seguramente habrá dispositivos que ejecutan Bash y que no pueden ser actualizados. También habrá dispositivos donde se ejecuta Bash y que nadie se da cuenta.

Como escribió  Robert Graham de ErrataSec en su blog (que merece la pena leer), “El número de sistemas que necesitan instalar los parches, pero en los que al final no se instalarán, será mucho más grande que en el caso de Heartbleed”. Y para que nos hagamos una idea, Graham afirma que centenares de miles de páginas web siguen siendo vulnerables a Heartbleed de OpenSSL, incluso meses después de la publicación de los parches.

 

Consejos