ShellShock una nueva amenaza que afecta a los sistemas Linux y OSX

passEl pasado 12 de septiembre el experto en sistemas y seguridad Stephane Chazelas anunció una nueva vulnerabilidad que podría afectar a un gran número de sistemas basados en linux. La vulnerabilidad, conocida como ShellShock resulta especialmente critica en sistemas servidores con conexión a internet, aunque también podría afectar a otros dispositivos que utilizan linux o sus derivados, como teléfonos móviles, routers y cámaras IP.

 
La gravedad de esta vulnerabilidad radica en el hecho de que más de la mitad de los servidores web en internet están basados precisamente en linux, cada vez más utilizado en entornos empresariales por su solidez, seguridad y, porqué no decirlo, su gratuidad.
 
El origen de la vulnerabilidad procede de un defecto en el popular intérprete de comandos bash de linux, el programa encargado de ejecutar los comandos que introducimos en el sistema. El defecto permite inyectar comandos arbitrarios tras una función definida en una variable de entorno utilizada por bash, lo que podría permitir al atacante tomar el control del sistema o ejecutar instrucciones en el mismo.
 
Están expuestos a este riesgo todos los equipos linux o derivados, con versiones de bash 4.3 o anteriores, es decir, la práctica totalidad de los mismos, principalmente aquellos que lo utilizan para ejecutar scripts en combinación con un servidor web. Es altamente recomendable actualizar los sistemas al último parche de seguridad publicado por el fabricante ya que muchos de ellos, Ubuntu, RedHat, Debian etc. ya han liberado soluciones provisionales o definitivas. Apple ha informado recientemente que la mayoría de sus sistemas OS X con la configuración por defecto son seguros.
 
La exposición de los teléfonos móviles con android o IOS es más limitada aunque se recomienda a los usuarios que estén atentos a los parches de seguridad.