En los últimos días se ha producido bastante revuelo con una noticia acerca de un fallo de seguridad muy grave y que afecta a millones de ordenadores y dispositivos de todo el mundo. Os vamos a contar cómo lo hemos visto y nos/os hemos protegido desde Tecnilógica.

Empecemos por el principio: ¿qué es ShellShock? No es más que el nombre “comercial” de una serie de vulnerabilidades detectadas en un componente fundamental del sistema operativo de millones de ordenadores y dispositivos: el intérprete de comandos Bash. Este componente se puede encontrar tanto en servidores de alta gama de varios millones de euros como en los routers ADSL que cualquiera de nosotros tenemos en casa, en reproductores de Blu-ray, cámaras de vigilancia, teléfonos móviles, tablets, etc.

shellshock_02_sep2014

Desde que se hizo público, prácticamente todos los medios se han hecho eco de esta noticia debido a la gravedad del mismo, algunos de forma un tanto espectacular y grandilocuente:

Shellshock: ‘Deadly serious’ new vulnerability found (BBC News)
Shellshock: Panic at ‘worst ever computer bug’ sees governments race to protect critical infrastructure (The Independent)

Otros directamente han dejado de lado la realidad y se han lanzado a por el titular apocalíptico:

Security experts are racing to destroy a virus called ‘ShellShock that’s targeting Apple computers (Business Insider)
– Shellshock, el virus catastrófico (La Razón de San Luis)

En todo caso, una cosa es segura: los sysadmins de todo el mundo han pasado un fin de semana de lo más interesante.

Desde su descubrimiento, el pasado día 24 de septiembre por la tarde, se han publicado varios parches de seguridad que han ido solucionando las distintas formas descubiertas de usar ese fallo que podían comprometer un sistema y descargar software en él para después ejecutarlo y tomar el control de la máquina atacada, o para que esta sirva como puente para atacar a otras máquinas remotas, ocultando así la identidad del atacante.

bash-500x375

Hay dos factores que amplifican enormemente la gravedad del fallo. En primer lugar, para los equipos que requieren un mantenimiento activo, tales como los servidores de internet, teléfonos o tablets, los parches de protección frente a este problema han estado disponibles desde los momentos iniciales de la crisis. No obstante, existen decenas de millones de dispositivos que no gozan de este mantenimiento y que son, y seguirán siendo por mucho tiempo, vulnerables a este fallo. El otro factor es la sencillez de la explotación del fallo y los distintos vectores de ataque. El más famoso hasta ahora y el primero que se empezó a usar es el de los navegadores web y las aplicaciones CGI, aunque se han hecho públicas otras formas de usar esta vulnerabilidad desde DNS, DHCP, email, SSH, etc. A ello se le suma la circunstancia de que no hace falta ser un ingeniero de sistemas ni un avezado hacker para poder comprometer un sistema: bastan unos sencillos comandos para conseguir que el sistema víctima ejecute los programas que deseemos.

Por ello, una de las perversas consecuencias de esta vulnerabilidad, prácticamente desde el día en que fue descubierta, es que ya se empezaran a detectar programas automáticos que escaneaban internet en busca de servidores vulnerables. Los servidores de Tecnilógica no fueron ajenos a estos intentos de ataque, aunque en todos los casos se toparon con servidores convenientemente actualizados y protegidos.

Gracias a nuestros sistemas de automatización de infraestructuras, pudimos actualizar el 90% de los equipos que mantenemos con solo una línea de comando, por lo que los parches se aplicaron tan solo unos minutos después de que estos fueran publicados por los desarrolladores. El resto de máquinas se actualizaron de forma manual tan solo unos minutos después.

Para una información más detallada, podéis realizar las siguientes consultas: CVE-2014-6271, CVE-2014-7169 y CVE-2014-7187.

Security-Breach

Es de suponer que a partir de ahora habrá que estar preparado para que cada poco tiempo aparezca alguna noticia de un nuevo dispositivo, servidor o servicio que ha sido atacado con éxito debido a este problema. Entendemos que, en los próximos días, los distintos fabricantes de dispositivos sujetos a vulnerabilidad irán publicando actualizaciones para los sistemas afectados, por lo que habrá que estar pendiente para poner al día todo lo susceptible de contener Bash. No obstante, y como normal general, siempre es conveniente mantener los sistemas actualizados, ya sean servidores, equipos de sobremesa, teléfonos, etc… Este tipo de sucesos no hacen más que recordarnos la importancia de dicha política.

Y para acabar con algo que ayudará a la tranquilidad de muchas personas, si tu dispositivo conectado a internet depende de busybox (como algunos frigoríficos, lavadoras, routers, cafeteras, etc…), es casi seguro que no esté afectado por este fallo.