Peor que Heartbleed? Conozca ShellShock, una nueva amenaza de seguridad para OS X y Linux
Se ha descubierto un grave problema de seguridad con el shell Bash, un componente importante de la mayoría de los sistemas operativos similares a UNIX, con importantes implicaciones para la seguridad informática en todo el mundo..
El problema está presente en todas las versiones del lenguaje de scripts Bash hasta la versión 4.3, que afecta a la mayoría de las máquinas Linux y a la totalidad de las computadoras que ejecutan OS X. y puede ver a un atacante explotando este problema para lanzar su propio código.
¿Tienes curiosidad por saber cómo funciona y cómo protegerte? Siga leyendo para obtener más información.
Que es bash?
Bash (para Bourne Again Shell) es el intérprete de línea de comandos predeterminado que se utiliza en la mayoría de las distribuciones de Linux y BSD, además de OS X. Se usa como método para iniciar programas, usar las utilidades del sistema e interactuar con el sistema operativo subyacente al iniciar comandos.
Además, Bash (y la mayoría de los shells de Unix) permiten el script de las funciones de UNIX en scripts pequeños. De manera similar a la mayoría de los lenguajes de programación, como Python, JavaScript y CoffeeScript, CoffeeScript es JavaScript sin los dolores de cabeza CoffeeScript es JavaScript sin los dolores de cabeza. Nunca me ha gustado mucho escribir JavaScript tanto. Desde el día en que escribí mi primera línea usándolo, siempre me ha molestado que todo lo que escribo en él termine pareciéndose a un Jackson ... Leer más: Bash es compatible con las características comunes de la mayoría de los lenguajes de programación, como funciones, variables y alcance..
Bash está casi en todas partes, y muchas personas usan el término 'Bash' para referirse a todas las interfaces de línea de comandos, independientemente de si en realidad están usando el shell de Bash. Y si alguna vez ha instalado WordPress o Ghost a través de la línea de comandos, ¿se ha registrado para el alojamiento web solo para SSH? No se preocupe: instale fácilmente cualquier software web ¿Se suscribió a un alojamiento web solo para SSH? No se preocupe: instale fácilmente cualquier software web ¿No sabe lo primero sobre el funcionamiento de Linux a través de su potente línea de comandos? No te preocupes más. Lea más, o canalice su tráfico web a través de SSH Cómo canalizar el tráfico web con SSH Secure Shell Cómo canalizar el tráfico web con SSH Secure Shell Lea más, posiblemente haya utilizado Bash.
Está en todas partes. Lo que hace que esta vulnerabilidad sea más preocupante..
Diseccionando el ataque
La vulnerabilidad, descubierta por el investigador de seguridad francés Stéphane Chazleas, ha provocado un gran pánico en los usuarios de Linux y Mac de todo el mundo, y también ha llamado la atención en la prensa tecnológica. Y también por una buena razón, ya que Shellshock podría ver a los atacantes obtener acceso a sistemas privilegiados y ejecutar su propio código malicioso. Es desagradable.
pero como funciona? En el nivel más bajo posible, explota cómo funcionan las variables de entorno. Estos son utilizados tanto por los sistemas similares a UNIX como por Windows ¿Qué son las variables de entorno y cómo puedo usarlas? [Windows] ¿Qué son las variables de entorno y cómo puedo usarlas? [Windows] De vez en cuando aprenderé un pequeño consejo que me hace pensar "bueno, si lo supiera hace un año, me habría ahorrado muchas horas". Recuerdo vívidamente cómo aprender a ... Leer más para almacenar los valores necesarios para que la computadora funcione correctamente. Estos están disponibles a nivel mundial en todo el sistema y pueden almacenar un solo valor, como la ubicación de una carpeta o un número, o una función.
Las funciones son un concepto que se encuentra en el desarrollo de software. ¿Pero qué hacen ellos? En pocas palabras, agrupan un conjunto de instrucciones (representadas por líneas de código), que luego pueden ser ejecutadas por otro programa o por un usuario..
El problema con el intérprete de Bash reside en cómo maneja las funciones de almacenamiento como variables de entorno. En Bash, el código encontrado en las funciones se almacena entre un par de llaves. Sin embargo, si un atacante deja un código Bash fuera de la llave, este será ejecutado por el sistema. Esto deja el sistema abierto para una familia de ataques conocidos como ataques de inyección de código..
Los investigadores ya han encontrado posibles vectores de ataque mediante la explotación de software como el servidor web Apache. Cómo configurar un servidor web Apache en 3 sencillos pasos Cómo configurar un servidor web Apache en 3 sencillos pasos Cualquiera que sea la razón, puede que, en algún momento Punto de querer poner en marcha un servidor web. Si desea darse acceso remoto a ciertas páginas o servicios, desea obtener una comunidad ... Leer más y las utilidades comunes de UNIX como WGET Mastering Wget & Learning Some Neat Downloading Tricks Mastering Wget & Learning Some Neat Downloading Tricks A veces es solo no es suficiente para guardar un sitio web localmente desde su navegador. A veces necesitas un poco más de poder. Para esto, hay una pequeña herramienta de línea de comandos conocida como Wget. Wget es ... Leer más interactuar con el shell y usar variables de entorno.
Ese error de bash es malo (https://t.co/60kPlziiVv) Obtenga una shell inversa en un sitio web vulnerable http://t.co/7JDCvZVU3S por @ortegaalfredo
- Chris Williams (@diodesign) 24 de septiembre de 2014
CVE-2014-6271: wget -U "() prueba;; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test
- Hernan Ochoa (@hernano) 24 de septiembre de 2014
¿Cómo se prueba para ello??
¿Tienes curiosidad por ver si tu sistema es vulnerable? Descubrirlo es fácil. Solo abre una terminal, y escribe:
env x = "() :;; echo vulnerable" bash -c "echo es una prueba”
Si su sistema es vulnerable, entonces producirá:
vulnerable esto es una prueba
Mientras que un sistema no afectado producirá:
env x = "() :;; echo vulnerable" bash -c "echo es una prueba" bash: advertencia: x: ignorando la definición de la función intento de bash: error definición de la función de importación de 'x' esta es una prueba
Como lo arreglas?
En el momento de la publicación, el error, que se descubrió el 24 de septiembre de 2014, debería haberse solucionado y solucionado. Simplemente necesitas actualizar tu sistema. Mientras que las variantes de Ubuntu y Ubuntu usan Dash como su shell principal, Bash todavía se usa para algunas funciones del sistema. Como resultado, sería bueno que lo actualices. Para hacer eso, escriba:
sudo apt-get update sudo apt-get upgrade
En Fedora y otras variantes de Red Hat, escriba:
actualización de sudo yum
Apple aún no ha lanzado una solución de seguridad para esto, aunque si lo hacen, lo harán a través de la tienda de aplicaciones. Asegúrese de que está revisando regularmente las actualizaciones de seguridad.
Chromebooks: que utilizan Linux como base y pueden ejecutar la mayoría de las distribuciones sin problemas. Cómo instalar Linux en un Chromebook Cómo instalar Linux en un Chromebook ¿Necesita Skype en su Chromebook? ¿Extrañas no tener acceso a los juegos a través de Steam? ¿Estás deseando usar VLC Media Player? Entonces comienza a usar Linux en tu Chromebook. Leer más: use Bash para ciertas funciones del sistema y Dash como su shell principal. Google debería actualizar a su debido tiempo.
Qué hacer si tu Distro aún no ha solucionado el error
Si su distribución aún no ha lanzado una solución para Bash, puede considerar cambiar las distribuciones o instalar un shell diferente..
Recomiendo a los principiantes echa un vistazo a Fish Shell. Esto viene con una serie de funciones que actualmente no están disponibles en Bash y hacen que sea aún más agradable trabajar con Linux. Estos incluyen sugerencias automáticas, colores VGA vibrantes y la capacidad de configurarlo desde una interfaz web.
El autor de MakeUseOf, Andrew Bolster, también recomienda que revises zSH, que viene con una estrecha integración con el sistema de control de versiones Git, además de autocompletar..
@matthewhughes zsh, porque mejor autocompletado e integración con git
- Andrew Bolster (@Bolster) 25 de septiembre de 2014
La vulnerabilidad de Linux más aterradora hasta ahora?
Shellshock ya ha sido armado. Un día después de que la vulnerabilidad se revelara al mundo, ya se había utilizado en la naturaleza para comprometer los sistemas. Más preocupante, no solo los usuarios domésticos y las empresas son vulnerables. Los expertos en seguridad predicen que el error también dejará a los sistemas militares y gubernamentales en riesgo. Es casi tan de pesadilla como lo fue Heartbleed..
Santa vaca, hay muchos sitios .mil y .gov que serán propiedad de CVE-2014-6271.
- Kenn White (@kennwhite) 24 de septiembre de 2014
Así que por favor. Actualiza tus sistemas, ¿de acuerdo? Déjame saber cómo te va y tus pensamientos acerca de esta pieza. El cuadro de comentarios está debajo.
Crédito de la foto: zanaca (IMG_3772.JPG)
Explorar más sobre: Seguridad en línea.