Hace relativamente poquito todas las alarmas de seguridad en la red se dispararon al descubrir la existencia de HeartBleed, uno de los fallos de seguridad más importantes desde hace muchísimo tiempo. Y por desgracia este artículo no es para daros buenas noticias, sino para avisar de que podríamos habernos topado con un fallo aún más grave.

Muchos de vosotros estaréis familiarizados con Bash (Bourne again shell). Básicamente, si no lo conocéis, se trata del encargado de interpretar órdenes en el sistema, y es el intérprete de comandos más utilizado con diferencia: presente en la gran mayoría de sistemas UNIX, portado a otros sistemas como Windows o Android… y Shellshock es una vulnerabilidad que se basa completamente en este programa.

CVE-2014-6271 (Shellshock para los amigos) ha sido descubierto por el equipo de seguridad de Red Hat, y se trata de una vulnerabilidad que permite al atacante introducir su propio código en Bash, gracias a que Bash cuenta con algunas funciones más típicas de lenguajes de programación. Podéis leer toda la charla técnica en el blog de seguridad de Red Hat, donde se explica con todo detalle para los entendidos.

Bash_screenshot

El problema es que este fallo de seguridad deja la puerta abierta para todo tipo de ataques maliciosos y remotos: desde tirar páginas web (recordemos que la mayoría de servidores web funcionan con Linux) hasta hacerse con los datos de un usuario que se encuentre en la misma red y tenga Bash instalado en su ordenador o dispositivo móvil, las posibilidades para los atacantes son variadas además de escalofriantes.

Un problema en el que la solución no es nada fácil

RedHat ya ha propuesto una solución, y empresas como la propia Red Hat, Fedora y CentOS ya han puesto solución parcial al problema en sus distribuciones (y digo parcialmente porque el parche es incompleto y un atacante puede seguir utilizándolo en condiciones muy específicas, algo que pasa a ser mencionado como CVE-2014-7169). Pero el verdadero problema de todo esto es que la solución se encuentra en el propio Bash.

bash shellshoc

¿Qué quiero decir con lo último? Que el alcance del fallo de seguridad es desconocido por su magnitud: Bash se encuentra en tantos sistemas, y ha estado con nosotros tanto tiempo, que es demasiado probable que hayan muchos sistemas vulnerables que jamás se lleguen a actualizar con la solución. Un software vulnerable ha estado dando vueltas por años y años, y es ahora cuando nos tenemos que enfrentar al problema que supone.

Estaremos atentos a cómo evoluciona Shellstock, pero ya os adelanto que la solución no va a ser ni clara ni rápida. Y, es más, probablemente nos dará mucho de qué hablar en el futuro.

Vía | Gizmodo