Esta semana finaliza con otra vulnerabilidad crítica y ampliamente generalizada que requiere atención inmediata. Más grande en alcance que Heartbleed, Shellshock afecta un programa de código abierto muy común que se llama ‘bash.’
Bash es un intérprete de comandos comúnmente plementado en Linux, BSD y Mac OS X. CVE–2014–7169 prociona los detalles.
El tl:dr que lleva este error es generalizado, tiene el potencial de hacer un daño significativo, y requiere poco o ningún conociento técnico para ser explotado. Debido al poder de LINUX, más de la mitad de los servidores de Intet, teléfonos Android y la mayoría de los dispositivos de la Intet de las Cosas (IoT), el alcance de Shellshock es muy amplio.
También, y dado que Bitcoin Core es controlado BASH, esta vulnerabilidad puede afectar a sistemas de minería Bitcoin y otros relacionados con Bitcoin, haciéndolos potencialmente un objetivo muy atractivo para los atacantes.
Algunos distribuidores de LINUX han publicado un parche que prociona una solución parcial a este error. Es recomendable plementar estos parches tan pronto como sea posible y estar preparado para desplegar otro parche una vez que los desarrolladores e investigadores confirmen la existencia de un parche con cobertura completa para esta vulnerabilidad. Las reparaciones para los teléfonos Android y otros dispositivos tendrán que venir de la fábrica.
Siempre va a haber una brecha entre el momento en que un parche está disponible y el tiempo en el que el usted puede asegurarse de que está desplegado con éxito en todo su entorno.
Aquí es donde el control de compensación entra en juego. En este caso, usted debe tener un sistema de prevención de intrusiones (IPS) u otro heurístico basado en red para monitorizar el tráfico de red de las instancias.
La protección a nivel de host puede ayudar a vigilar el tráfico de red que entra y sale de las instancias y buscar intentos de ataques, bloqueándolos antes de que puedan ser ejecutados y parchear prácticamente los servidores de forma eficaz. En este caso, el exploit es relativamente sple de identificar y un IPS debe ser capaz de prevenir cualquier intento de ataque que provenga de un software vulnerable.
El post técnico elaborado Trend Micro hace un gran trabajo al detallar algunos pasos generales que todos debemos tener en cuenta para responder a esta emergencia, así como los pasos específicos que los clientes de Trend Micro deberían llevar a cabo.
En la actualidad existe un parche disponible para las distribuciones más afectadas que aborda parcialmente la vulnerabilidad. Se sigue trabajando en una solución más completa.
Este tema es urgente y debe ser abordado de inmediato. Afortunadamente, el plan de respuesta es muy sencillo:
- Si usted es el usuario final, tenga cuidado con los parches para su Mac, su teléfono Android, u otros dispositivos que pueda tener.
- Si usted está trabajando con los sistemas Linux, instale parches BASH inmediatamente.
- Si está ejecutando servidores web Linux / APACHE que usan scripts BASH, considere la reorganización de sus scripts para usar algo que no sea BASH hasta que un nuevo parche esté disponible.
- Si usted es el cliente de un servicio alojado, esté en contacto con ellos para saber si son vulnerables y conocer sus planes para resolverlo en caso de que lo sean.
El siguiente paso para proteger sus servidores debe ser:
- Asegúrese de que usted tiene un IPS desplegado delante de los servidores vulnerables, que el IPS está habilitado y que bloquea activamente los programas para CVE–2014–7169. Deep Security está disponible a pleno funcionamiento (software o servicio) que puede ayudar inmediatamente a los clientes.
- Puesto que los parches están disponibles asegúrese de instalarlos lo antes posible para asegurar la cobertura en capas (en conjunto con su IPS).
- Continuar monitorizando la situación a medida que evoluciona.
Para equipos de sobremesa vulnerables (como Linux y Mac OS X):
- Cambiar temalmente la línea de comandos, o shell, a una sin esta vulnerabilidad. Esta vulnerabilidad en la actualidad sólo existe en BASH, otras líneas de comando no se ven afectadas. He aquí un howto for Mac OS X.
- Una vez que el parche se pone a disposición del sistema operativo, despliéguelo.