Los cibercriminales no perdieron tiempo al enterarse de la vulnerabilidad en Bash que había pasado desapercibida por más de 20 años y lanzaron un exploit el viernes, al día siguiente de que se diera a conocer su existencia a la comunidad de Internet.
Las ansias de los atacantes por probar esta nueva vulnerabilidad para tomar el control de los ordenadores de los internautas ha obligado a los expertos en seguridad a participar en una carrera a contra reloj para desarrollar parches que lleguen a los usuarios antes que los ataques de los cibercriminales. El mismo viernes, se publicó una nueva saga de parches para diferentes sistemas operativos afectados por el problema.
La vulnerabilidad en Bash, el intérprete de Unix y Linux que emplean muchos sistemas operativos, ha estado abierta por 22 años y se considera más peligrosa que Heartbleed, la vulnerabilidad en SSL que marcó un hito en la historia de la seguridad informática por los riesgos que implicaba. El problema radica en que la falla en Bash, que ha adoptado el nombre de “ShellShock”, tiene un amplio espectro de posibles víctimas y puede explotarse sin conocimientos técnicos avanzados para tomar el control de los equipos de los usuarios. También podría utilizarse para atacar dispositivos relacionados con el Internet de las Cosas.
Apple ha tratado de calmar los nervios de los usuarios de Mac OS X, basado en Bash, asegurándoles que la mayoría estaba a salvo gracias a las configuraciones predeterminadas del sistema operativo, que neutralizan la amenaza de exploits remotos, como los que se usarían para explotar esta vulnerabilidad. Sin embargo, los usuarios que cambiaron la configuración avanzada de sus servicios Unix podrían estar en problemas.
Mientras tanto, el Consejo Federal de Examinaciones de Instituciones Financieras (FFIEC), que regula los estándares de entidades financieras estadounidenses, entre ellas la Reserva Federal de los Estados Unidos, la Compañía de Seguros de Depósitos de EE.UU. y la Oficina Estadounidense de Control de la Moneda, ha exigido a los bancos que identifiquen y parchen sus sistemas que usen Bash y revisen las aplicaciones externas para asegurarse de que han bloqueado el acceso de los intrusos a sus instituciones. “El uso generalizado de Bash y su potencial para automatizarse es un gran riesgo material”, explicó el FFIEC.
Fuentes:
Companies Rush to Fix Shellshock Software Bug as Hackers Launch Thousands of Attacks The New York Times
Top regulators warn banks over ‘Shellshock’ bug as Apple and Oracle prepare patches The Dydney Morning Herald
Firms BASH Bash bug with new round of Shellshock patches The Register
Surgen exploits y nuevos parches para la vulnerabilidad en Bash