Español | English
rss facebook linkedin Twitter

Después del HeartBleed, el ShellShock

Después del HeartBleed, el ShellShock, la vulnerabilidad que está alterando los nervios de todos los administradores de sistemas desde el día 24 de septiembre. Vulnerabilidad en el software GNU BASH mediante la que un atacante remoto y en determinadas circunstancias puede ejecutar código arbitrario añadiendo dichas sentencias a parámetros que se usarán como variables de entorno, hay información de sobra en CVE-2014-6271CVE-2014-7169CVE-2014-7186, y CVE-2014-7187.

Esto ha impactado de tal manera en Internet que en apenas horas ya había botnets explotando la vulnerabilidad, cientos de post que alertaban de la misma y todo el mundo pidiendo un PoC que había viajado en el tiempo desde los años 90, donde estábamos más acostumbrados a ver este tipo de vulnerabilidades.

Quizás la comunidad más afectada por este bug sea curiosamente la Free Software Foundation, que ha visto que su proyecto estrella, el GNU Project sufría el ataque de sarna más duro contra uno de sus eslabones mas mimados el shell Bash.

Millones de “sudo apt-get update && sudo apt-get install --only-upgrade bash“ después, estamos en un momento en que al hacer el recuento de bajas, resulta que debajo de todos cadáveres hay un alto tanto por ciento de sistemas que incorporan el GNU Bash y que se encuentran desprotegidos en Internet, de los que evidentemente nadie excepto quien sepa sacarles un provecho se va a acordar:
  1. Los X miles de routers DSL o no de operadoras basados en software GNU y que incorporaban el Bash y que a día de hoy pocos serán los actualizados.
  2.  La ingente cantidad de dispositivos SCADA basados en GNU y cuya actualización no es complicada, pero si el despliegue necesario para hacerla.
Dos sectores Telco y SCADA que tradicionalmente han aprovechado el proyecto GNU y gracias al cual ha crecido el mismo y que a día de hoy, debido a esta vulnerabilidad, han quedado expuestos.

Fuera de este post el posicionarse respecto al proyecto GNU, pero si posicionarnos sobre la gestión del cambio en las compañías, la gestión de las actualizaciones en todos nuestros elementos de negocio y el tener siempre un plan para este tipo de tsunamis tecnológicos.

Desde el HeartBleed (el anterior bug que conmociono Internet y que afectaba también a código abierto) al Shellshock no ha pasado muchos meses, los ecos del HeartBleed siguen resonando desde abril y a día de hoy todavía hay servicios sin parchear en Internet. Veremos cuándo se retiren las aguas del ShellShock cuál podrá ser la próxima que nos invite de nuevo a repensarnos si estamos haciendo una correcta gestión de la seguridad.

S21sec


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login