Check the new version here

Popular channels

¿Qué es Shellshock, cómo funciona y por qué es importante?




Y pensamos Heartbleed era malo. Bienvenido a Shellshock , la última amenaza de seguridad para golpear el Internet. Y es un extraordinario.

Como Heartbleed, la complejidad técnica de Shellshock (en comparación con otros tipos de vulnerabilidades del sistema) hace explicando lo que la vulnerabilidad es, cómo funciona, y el daño potencial desafiante.

Hablando de comandos bash y las inyecciones de código y definiciones-variable de entorno hará que muchos ojos se ponen vidriosos. Y eso es una mala cosa, porque Shellshock es grave. Muy grave.

Arquitecto de software y Microsoft MVP Troy caza escribieron una fantástica FAQ Shellshock que es muy recomendable la lectura. Caza hace un buen trabajo de explicar qué es lo que en Inglés.

Esto es lo que significa Shellshock para usted, el usuario medio.

Vamos Bash
Si destilamos Shellshock en los términos más simples, es una vulnerabilidad en Bash - software del sistema utilizado por millones y millones de computadoras que se abre la posibilidad de que un atacante podría ejecutar código arbitrario en cualquier máquina de ejecutarlo.

Bash ha existido desde la década de 1980 y es el shell por defecto de OS X, Linux y algunas versiones de Unix. Por defecto, las máquinas Windows y servidores Windows no se ejecutan Bash, pero versiones de Bash con frecuencia se instalan en Windows. (Esto será importante más adelante.)

Bash no es sólo un intérprete de comandos - también se puede utilizar como un analizador de secuencias de comandos CGI - la forma en que muchos sitios web muestran contenido dinámico. Esto es importante porque los scripts CGI son a menudo ejecutados el Apache, el tipo más común de servidor web en el mundo.

Como usted puede recordar de Heartbleed, sobre 50% de los servidores web Apache funcionar, lo que significa que pueden tener alguna versión de Bash en ellos 50% de los servidores web Apache ejecuta, lo que significa que pueden tener alguna versión de Bash en ellos . Y eso sin siquiera tomar en cuenta cualquier otro servidor web que también podría haber Bash instalados como parte de su configuración.

Algunos usuarios se están confundidos al pensar Bash es la línea de comandos. No lo es, pero es el intérprete de comandos más comunes en el mundo y se instala en millones de sistemas.

Una de las funciones básicas de Bash es que permite a los usuarios definir funciones como una forma de pasar el texto a otros sistemas y procesos. Por lo general, esto es muy bien - y bueno, es conveniente, es por eso que existe.

¿Cuál es el problema?
El problema es que existe una vulnerabilidad importante que se produce cuando los caracteres específicos se incluyen como parte de una definición de la variable.

Si los caracteres "{:;};" se incluyen como la definición de la función, cualquier código arbitrario que se inserta a continuación se procesa esa definición. Esto no debe suceder.

En otras palabras, si soy capaz de definir lo que parece ser una función normal con los caracteres especiales y luego virar en un par de comandos de la shell en la final de esa definición, Bash terminará de ejecutar esos comandos.

Esto es lo que se conoce como inyección de código - y es un tipo común de ataque.

El problema se agrava porque muchos, muchos servicios públicos, particularmente CGI y Apache, tienen acceso a Bash y puedan utilizarlo en el fondo.

Esto significa que un servidor vulnerable ni siquiera necesita tener un usuario escriba específicamente el código inyectado en la línea de comandos; alguien puede diseñar una secuencia de comandos que utiliza la línea de comandos Bash ser capaz de ejecutar código.

Como dice Troy Hunt en su FAQ, la posibilidad de "conseguir shell" en una caja es enorme. Obtener acceso a la línea de comandos es lo que los hackers siempre quieren hacer, ya que les puede dar acceso a todo el entorno. Obtener acceso a la línea de comandos es lo que los hackers siempre quieren hacer, ya que les puede dar acceso a todo el entorno. De esa manera, puede publicar su propio código malicioso, empezar a acceder a los datos internos, vuelva a configurar entornos para sus propios casos de uso y más.

Queremos ser claros - conseguir shell no es lo mismo que recibir raíz -, pero sí quiere decir que se da a los intrusos la oportunidad de jugar por premios más grandes en la ronda de bonos. Esto podría llevar a una escalada de privilegios de root a través de alguna otra vulnerabilidad que podría encontrar. Y si tienes la raíz - bueno, más de juego. El sistema está pwned.

Dónde Shellshock vuelve realmente malo es si se convierte en un gusano. Un gusano es un ataque auto-replicante, donde el programa malicioso crea código que se lanza en otros objetivos que luego se lanzan en otros objetivos y así sucesivamente. Si usted recuerda el gusano Sasser o el gusano Samy MySpace , usted recordará lo rápido que este tipo de cosas se puede propagar.

Es por eso que durante los últimos 36 horas más o menos, los administradores de sistemas de todo el mundo han estado ocupados tratando de parchear sus sistemas lo más rápido posible.

¿Qué versiones de Bash se ven afectados?
Listo para una mala noticia? Parece que, básicamente, cada versión de Bash través de la versión 4.3 se ve afectado por esta vulnerabilidad. Eso son 25 años de valor de Bash instala.

Tenga en cuenta, Bash menudo se instala con otros programas - por lo que incluso las máquinas de Windows, que no incluyen Bash por defecto, podría ser vulnerable.

Por ahora, el objetivo más importante es los servidores web Por ahora, el objetivo principal es servidores web - y con la mitad de la Internet en situación de riesgo, que es una gran zona de destino.

Si usted es responsable de mantener su propio servidor web y no está seguro si necesita actualizar su versión de Bash, puede utilizar la herramienta Shellshocker comprobar para ver si es vulnerable o no.

Los consumidores habituales son probablemente seguro, por ahora
Entonces, ¿qué acerca de los consumidores regulares? Aquí es donde se pone difícil. Si ejecuta Windows y nunca ha instalado Git o Cygwin u otros programas, es probable que estés bien - pero aún quieres estar al tanto de las actualizaciones de seguridad.

Los usuarios de Linux pueden consultar con su distro para las actualizaciones para parchear Bash.

En cuanto a OS X, si está familiarizado con la línea de comandos y compilar su propia concha, puede actualizar a una versión más segura, pero no es recomendable hacer eso a menos que realmente sepa lo que está haciendo y se sienta cómodo las ramificaciones potenciales de una actualización ido mal.

Lo mejor que puedes hacer es esperar a que Apple emita una actualización.

En este momento, no parece que nadie ha llegado con una manera de ejecutar código en los equipos individuales (no servidores), pero la naturaleza de estas cosas significa que podría convertirse en un gusano atacan a los sistemas Mac.

El problema de las grandes foto
La preocupación más grande, al igual que con Heartbleed, es que hay un montón de sistemas que nunca pudieron conseguir actualizados. Con Heartbleed, vimos las versiones vulnerables de OpenSSL en un montón de dispositivos - incluyendo smartphones y routers - que nunca se actualizará.

El potencial de Shellshock es tan vasta - si no más, dada la ubicuidad de Bash.

El único consuelo es que Busybox, el sistema operativo que utilizan sistemas más integrados, tiene su propia concha y no se basa en Bash.

Aún así, es demasiado pronto para saber qué tan grave es este es demasiado pronto para saber lo mal que esta es o en qué medida podría extenderse. Las empresas más grandes y los servidores web ya están parcheados. Ahora, es hora de que la larga cola de cambios, y los sistemas más largos permanecen sin parchear, los atacantes más tiempo tendrán que utilizar esta vulnerabilidad para elaborar algunas cosas realmente desagradables.

No queremos ser alarmistas, pero esto no es bueno. Y ahora es más importante que nunca que los administradores de sistemas que actualicen sus sistemas tan pronto como sea posible.
0No comments yet
      GIF
      New