{"id":4250,"date":"2014-09-26T14:56:25","date_gmt":"2014-09-26T14:56:25","guid":{"rendered":"http:\/\/kasperskydaily.com\/spain\/?p=4250"},"modified":"2020-02-26T17:25:58","modified_gmt":"2020-02-26T15:25:58","slug":"que-es-la-vulnerabilidad-de-bash-y-como-nos-afecta","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/que-es-la-vulnerabilidad-de-bash-y-como-nos-afecta\/4250\/","title":{"rendered":"Qu\u00e9 es la vulnerabilidad de Bash y c\u00f3mo nos afecta"},"content":{"rendered":"

Esta semana se descubri\u00f3 la vulnerabilidad m\u00e1s impactante desde el caso Heartbleed de Open SSL<\/a>, que afecta a Bourne again Shell (Bash). Aunque no se sabe a\u00fan cu\u00e1nto de grave es exactamente la situaci\u00f3n, ya se habla mucho de la vulnerabilidad de Bash y seguro que en la tele hab\u00e9is o\u00eddo algo al respecto en las noticias.<\/p>\n

\u00bfQu\u00e9 es Bash?<\/strong><\/p>\n

Bash es una especie de lenguaje de scripting y un programa shell desarrollado por GNU Project en 1989. Permite a los usuarios insertar comandos que luego se ejecutan a nivel de sistema. En pocas palabras, emite e interpreta comandos. Si quer\u00e9is saber algo m\u00e1s sobre el tema, os aconsejamos visitar la p\u00e1gina web de GNU Bash<\/a>.<\/p>\n

Bash se encuentra en la mayor parte de los sistemas Unix, en Linux y tambi\u00e9n en el sistema operativo de Apple OS X, que toma en pr\u00e9stamo muchos elementos de Unix y Linux. Aparte de esto, Bash se encuentra en much\u00edsimos servidores Web y en dispositivos para el hogar como routers y m\u00f3dems, as\u00ed como dispositivos para la conexi\u00f3n a Internet.<\/p>\n

La vulnerabilidad de Bash ha sido descubierta por Stephane Chazelas, administrador de red y telecomunicaciones para Unix y Linux en la empresa de seguridad Akamai. Como pod\u00e9is imaginar, se trata de una vulnerabilidad que circula desde hace bastante tiempo, tal vez desde hace 20 a\u00f1os. Igual que Heartbleed, esperemos que Chazelas haya sido el \u00fanico en encontrar el bug, pero nunca lo sabremos con seguridad.<\/p>\n

\u00bfC\u00f3mo nos afecta la vulnerabilidad de Bash?<\/strong><\/p>\n

Seguramente en poco tiempo aparecer\u00e1 un exploit \u201cin the wild\u201d para la vulnerabilidad de Bash. Los exploits permitir\u00edan a un cibercriminal juntar, en remoto, un archivo ejecutable malicioso a piezas de c\u00f3digo o de script que se ejecutar\u00edan a trav\u00e9s de Bash. En otras palabras, despu\u00e9s de haber creado un exploit eficaz, un cibercriminal podr\u00eda tomar el control total de los sistemas afectados por la vulnerabilidad.<\/p>\n

Cuando les preguntamos si el bug de Bash podr\u00eda ser el \u201cnuevo Heartbleed\u201d, nuestros amigos del Global Research and Analysis Team (GReAT) de Kaspersky Lab nos contestaron lo siguiente:<\/p>\n

\u201cPues es una vulnerabilidad mucho m\u00e1s f\u00e1cil de explotar que Heartbleed. Adem\u00e1s, en el caso de Heartbleed, los cibercriminales s\u00f3lo pod\u00edan robar datos de la memoria, con la esperanza de encontrar algo interesante. Con la vulnerabilidad de Bash, por otro lado, pueden tomar el control del sistema entero. El peligro es m\u00e1s evidente\u201d.<\/p>\n

Los investigadores de Kaspersky Lab imaginaron tambi\u00e9n algunas situaciones en las que se podr\u00eda utilizar la vulnerabilidad de Bash para robar datos bancarios y dinero. Es posible que un cibercriminal pueda servirse de esta vulnerabilidad para robar las credenciales bancarias desde un ordenador de un particular o atacar el servidor de un servicio de banco online para intentar robar n\u00fameros de cuenta y otra informaci\u00f3n.<\/p>\n

\u00bfQu\u00e9 es la vulnerabilidad de #Bash y c\u00f3mo nos afecta?<\/p>Tweet<\/a><\/blockquote>\n

Tal vez el llamamiento del United States Computer Emergency Readiness Team<\/a> os da una idea m\u00e1s clara de la gravedad de la situaci\u00f3n:<\/p>\n

\u201cEsta vulnerabilidad ha sido clasificada como de \u201calto impacto\u201d en una escala de 10 seg\u00fan el Common Vulnerability Scoring System<\/em>\u00a0(CVSS) y\u00a0 de nivel \u201cbajo\u201d por grado de complejidad, lo que significa que se puede ejecutar muy f\u00e1cilmente. Este fallo permite a los cibercriminales crear variables de entorno espec\u00edficas que contienen comandos arbitrarios; luego, estos comandos ser\u00e1n ejecutados por los sistemas vulnerables. Se trata de una vulnerabilidad muy peligrosa debido a la gran difusi\u00f3n de Shell Bash, un programa presente en muchas aplicaciones y que se utiliza por razones diferentes\u201d.<\/p>\n

En resumen: el bug de Bash podr\u00eda tener un gran impacto y, adem\u00e1s, se trata de una vulnerabilidad f\u00e1cil de explotar. Este \u00faltimo aspecto es lo que lo diferencia de Heartbleed, que ten\u00eda un alto impacto pero era dif\u00edcil de explotar.<\/p>\n

\u00bfC\u00f3mo protegerse?<\/strong><\/p>\n

Lo \u00fanico que se puede hacer para protegerse (aparte de abandonar Internet para siempre), es instalar las actualizaciones de las aplicaciones afectadas en cuanto est\u00e9n disponibles. Para los sistemas operativos de ordenadores de mesa y port\u00e1tiles, ser\u00e1n ellos los que publicar\u00e1n los parches.<\/p>\n

\u201cEs una vulnerabilidad mucho m\u00e1s f\u00e1cil de explotar que Heartbleed. Adem\u00e1s, en el caso de Heartbleed, los cibercriminales s\u00f3lo pod\u00edan robar datos de la memoria, con la esperanza de encontrar algo interesante. En el caso de la vulnerabilidad de Bash, pueden tomar el control del sistema entero. El peligro es m\u00e1s evidente\u201d.<\/div>\n

Por lo que se refiere a m\u00f3dems, routers y otros dispositivos para el hogar, no hay una soluci\u00f3n \u00fanica. Lo m\u00e1s probable es que las empresas que producen estos aparatos publiquen una actualizaci\u00f3n del firmware y, en la mayor parte de los casos, estas actualizaciones no se instalan solas, tiene que hacerlo el usuario.<\/p>\n

La cuesti\u00f3n, como nos explicaron los investigadores de GReAt de Kaspersky Lab, es que Bash es tan vers\u00e1til y se usa en tantas situaciones diferentes que los parches podr\u00edan solucionar el problema hasta cierto punto. As\u00ed que, deshacerse de la vulnerabilidad de Bash comporta recorrer un camino largo, \u00a0a base de pruebas y errores: algunos investigadores y expertos incluso han definido como \u201cincompleta\u201d la primera ronda de los parches de Bash<\/a>.<\/p>\n

Otro problema es que los sistemas Unix se encuentran pr\u00e1cticamente en cualquier sitio, y esto significa que Bash tambi\u00e9n. Seguramente habr\u00e1 dispositivos que ejecutan Bash y que no pueden ser actualizados. Tambi\u00e9n habr\u00e1 dispositivos donde se ejecuta Bash y que nadie se da cuenta.<\/p>\n

Como escribi\u00f3\u00a0 Robert Graham de ErrataSec en su blog<\/a> (que merece la pena leer), \u201cEl n\u00famero de sistemas que necesitan instalar los parches, pero en los que al final no se instalar\u00e1n, ser\u00e1 mucho m\u00e1s grande que en el caso de Heartbleed\u201d. Y para que nos hagamos una idea, Graham afirma que centenares de miles de p\u00e1ginas web siguen siendo vulnerables a Heartbleed de OpenSSL<\/a>, incluso meses despu\u00e9s de la publicaci\u00f3n de los parches.<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

La vulnerabilidad de Bash que afecta Unix, Linux y los sistemas operativos OS X se ha difundido por todo Internet; algunos expertos afirman que es mucho m\u00e1s peligrosa que Heartbleed de OpenSSL. <\/p>\n","protected":false},"author":42,"featured_media":4251,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[10,6],"tags":[726,696,61,941,940,338],"class_list":{"0":"post-4250","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-news","9":"tag-heartbleed","10":"tag-linux","11":"tag-seguridad","12":"tag-seguridad-apple","13":"tag-unix","14":"tag-vulnerabilidad"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/que-es-la-vulnerabilidad-de-bash-y-como-nos-afecta\/4250\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/heartbleed\/","name":"Heartbleed"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/4250","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=4250"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/4250\/revisions"}],"predecessor-version":[{"id":21693,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/4250\/revisions\/21693"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/4251"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=4250"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=4250"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=4250"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}