¿Peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux

Anuncio

Anuncio
Anuncio

Se descubrió un serio problema de seguridad con el shell Bash, un componente principal de los dos sistemas operativos más parecidos a UNIX, con importantes implicaciones para la seguridad informática en todo el mundo.

El problema está presente en todas las versiones del lenguaje de scripts Bash hasta la versión 4.3, que afecta a la mayoría de las máquinas Linux, y la totalidad de las computadoras que ejecutan OS X. y puede ver a un atacante explotando este problema para lanzar su propio código.

¿Tienes curiosidad sobre cómo funciona y cómo protegerte? Siga leyendo para obtener más información.

¿Qué es Bash?

Bash (que significa Bourne Again Shell) es el intérprete de línea de comandos predeterminado utilizado en la mayoría de las distribuciones de Linux y BSD, además de OS X. Se utiliza como un método de lanzamiento de programas, utilizando utilidades del sistema e interactuando con el sistema operativo subyacente mediante el lanzamiento comandos.

Además, Bash (y la mayoría de las shells de Unix) permiten el scripting de funciones de UNIX en pequeños scripts. De forma similar a la mayoría de los lenguajes de programación, como Python, JavaScript y CoffeeScript, CoffeeScript es JavaScript sin los dolores de cabeza. CoffeeScript es JavaScript sin los dolores de cabeza. Nunca me ha gustado mucho escribir JavaScript. Desde el día en que escribí mi primera línea usándolo, siempre me ha molestado que todo lo que escribo en él siempre parezca un Jackson ... Leer más - Bash admite características comunes con la mayoría de los lenguajes de programación, como funciones, variables y alcance.

shellshock-bash

Bash es casi ubicuo, con muchas personas usando el término 'Bash' para referirse a todas las interfaces de línea de comando, independientemente de si realmente están usando el shell Bash. ¿Y si alguna vez ha instalado WordPress o Ghost a través de la línea de comandos firmada para alojamiento web solo SSH? No se preocupe: instale fácilmente cualquier software web firmado para alojamiento web solo SSH. No te preocupes: instala fácilmente cualquier software web. ¿No sabes lo primero sobre operar Linux a través de su poderosa línea de comandos? No te preocupes más Lea más, o canalice su tráfico web a través de SSH Cómo tunelizar el tráfico web con SSH Secure Shell Cómo tunelizar el tráfico web con SSH Secure Shell Lea más, posiblemente haya utilizado Bash.

Está en todas partes. Lo que hace que esta vulnerabilidad sea aún más preocupante.

Diseccionando el ataque

La vulnerabilidad, descubierta por el investigador de seguridad francés Stéphane Chazleas, ha causado un gran pánico entre los usuarios de Linux y Mac en todo el mundo, además de atraer la atención de la prensa tecnológica. Y también por una buena razón, ya que Shellshock podría ver a los atacantes obtener acceso a sistemas privilegiados y ejecutar su propio código malicioso. Es desagradable.

pero como funciona? En el nivel más bajo posible, explota cómo funcionan las variables de entorno. Estos son usados ​​tanto por sistemas tipo UNIX como por Windows. ¿Qué son las variables de entorno y cómo puedo usarlas? [Windows] ¿Qué son las variables de entorno y cómo puedo usarlas? [Windows] De vez en cuando aprenderé un pequeño consejo que me hace pensar "bueno, si lo supiera hace un año, me habría ahorrado horas". Recuerdo vívidamente aprender a ... Leer más para almacenar los valores que se requieren para que la computadora funcione correctamente. Estos están disponibles en todo el mundo y pueden almacenar un único valor, como la ubicación de una carpeta o un número, o una función.

shellshock-env-vars

Las funciones son un concepto que se encuentra en el desarrollo de software. Pero, ¿qué hacen? En pocas palabras, agrupan un conjunto de instrucciones (representadas por líneas de código), que luego pueden ser ejecutadas por otro programa o un usuario.

El problema con el intérprete de Bash radica en cómo maneja las funciones de almacenamiento como variables de entorno. En Bash, el código encontrado en las funciones se almacena entre un par de llaves. Sin embargo, si un atacante deja algún código de Bash fuera del corsé, lo ejecutará el sistema. Esto deja el sistema abierto para una familia de ataques conocidos como ataques de inyección de código.

Los investigadores ya han encontrado posibles vectores de ataque al explotar cómo un software como el servidor web Apache. Cómo configurar un servidor web Apache en 3 sencillos pasos Cómo configurar un servidor web Apache en 3 sencillos pasos Cualquiera que sea el motivo, es posible que en algún momento señalar que quieres tener un servidor web funcionando. Ya sea que quiera darse acceso remoto a ciertas páginas o servicios, quiere obtener una comunidad ... Leer más, y utilidades comunes de UNIX tales como WGET Dominar el Wget & Learning Algunos trucos de descarga aseados Dominar Wget & Learning Algunos trucos de descarga aseados A veces simplemente no es suficiente para guardar un sitio web localmente desde su navegador. A veces necesitas un poco más de potencia. Para esto, hay una pequeña y ordenada herramienta de línea de comando conocida como Wget. Wget es ... Leer más interactuar con el shell y usar variables de entorno.

Ese error de bash es malo (https://t.co/60kPlziiVv) Obtenga un shell inverso en un sitio web vulnerable http://t.co/7JDCvZVU3S por @ortegaalfredo

- Chris Williams (@diodesign) 24 de septiembre de 2014

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" miservidor / cgi-bin / test

- Hernan Ochoa (@hernano) 24 de septiembre de 2014

¿Cómo lo prueba?

¿Curioso para ver si su sistema es vulnerable? Descubrir es fácil. Simplemente abre una terminal y escribe:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test” 

Si su sistema es vulnerable, saldrá:

 vulnerable this is a test 

Mientras que un sistema no afectado producirá:

 env x='() { :;}; echo vulnerable' bash -c "echo this is a test" bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test 

¿Como lo arreglas?

En el momento de la publicación, el error, que se descubrió el 24 de septiembre de 2014, debería haberse corregido y reparado. Simplemente necesita actualizar su sistema. Mientras que las variantes de Ubuntu y Ubuntu usan Dash como su caparazón principal, Bash aún se usa para algunas funcionalidades del sistema. Como resultado, se recomienda actualizarlo. Para hacer eso, escribe:

 sudo apt-get update sudo apt-get upgrade 

En Fedora y otras variantes de Red Hat, escriba:

 sudo yum update 

Apple aún debe lanzar una solución de seguridad para esto, aunque si lo hacen, lo lanzarán a través de la tienda de aplicaciones. Asegúrese de que está revisando regularmente las actualizaciones de seguridad.

shellshock-update

Chromebooks, que utilizan Linux como base, y pueden ejecutar la mayoría de las distribuciones sin mucho alboroto Cómo instalar Linux en un Chromebook Cómo instalar Linux en un Chromebook ¿Necesita Skype en su Chromebook? ¿Echas de menos no tener acceso a los juegos a través de Steam? ¿Estás ansioso por usar VLC Media Player? Luego comience a usar Linux en su Chromebook. Leer más: use Bash para ciertas funciones del sistema y Dash como su caparazón principal. Google debería actualizar a su debido tiempo.

Qué hacer si su distribución aún no ha solucionado el problema

Si su distribución aún no ha lanzado una solución para Bash, puede considerar cambiar las distribuciones o instalar un shell diferente.

Recomiendo a los principiantes que prueben Fish Shell. Esto viene con una serie de características que no están disponibles actualmente en Bash y hacen que sea aún más agradable trabajar con Linux. Estos incluyen autosugerencias, colores vibrantes VGA y la capacidad de configurarlo desde una interfaz web.

El compañero autor de MakeUseOf, Andrew Bolster, también recomienda que revises zSH, que viene con una estrecha integración con el sistema de control de versiones de Git, así como autocompletar.

@matthewhughes zsh, porque mejor autocompletar e integrar git

- Andrew Bolster (@Bolster) 25 de septiembre de 2014

¿La vulnerabilidad de Linux más aterradora?

Shellshock ya ha sido armado. En el plazo de un día desde la divulgación de la vulnerabilidad al mundo, ya se había utilizado en la naturaleza para comprometer los sistemas. Lo más preocupante es que no solo los usuarios domésticos y las empresas son vulnerables. Los expertos en seguridad predicen que el error también dejará en riesgo los sistemas militares y gubernamentales. Es casi tan pesadillesco como Heartbleed.

Holy Cow hay muchos sitios .mil y .gov que serán propiedad de CVE-2014-6271.

- Kenn White (@kennwhite) 24 de septiembre de 2014

Así que por favor. Actualice sus sistemas, ¿de acuerdo? Déjame saber cómo te va y tus pensamientos sobre esta pieza. El cuadro de comentarios está debajo.

Crédito de la foto: zanaca (IMG_3772.JPG)

In this article