26 septiembre, 2014
Una falla de seguridad en Bash, plataforma utilizada por los sistemas operativos Linux y Mac OS X, podría ser aún más grave que “Heartbleed”. La noticia fue confirmada por el departamento de Seguridad Interior de los Estados Unidos en un comunicado.
“Shellshock”, como ha sido dado a conocer el fallo, puede ser aprovechado por piratas informáticos para realizar ataques remotos ejecutando códigos arbitrarios en el sistema afectado. Para la oficina de Seguridad Informática el departamento de Seguridad Interior, si se creara un gusano de rápida extensión, se podría causar un daño aún más serio que con “Heartbleed”.
Básicamente, la falla en Bash podría permitir a delincuentes recuperar en la memoria de los servidores datos ingresados mediante conexiones seguras. “Esto va a ser mucho más grande que Heartbleed”, aseguró Rahul Kashyap, jefe de seguridad de Bromium Labs, una firma de seguridad con sede en California.
Para Kashyap, el bug encontrado en Bash podría afectar a millones de dispositivos, desde servidores web a computadoras Mac, u otros dispositivos que se conecten a internet a través de sistemas operativos de código abierto basado en Linux. Debido a que el software es tan prevalente, se abre la puerta a que los piratas informáticos puedan ingresar a cualquier hogar a través de un router doméstico y tomar el control de los equipos conectados a la red.
Es en este último punto donde radica la gravedad de la vulnerabilidad en Bash. Si Heartbleed permitía espiar dispositivos sin permiso, “Shellshock” sube la apuesta y permite secuestrar computadoras para usarlas para sus propios propósitos. Por ahora, el parche que se ha lanzado para solucionar la falla es provisorio, por lo que los usuarios que usan sistemas operativos que puedan llegar a ser afectados, deberían “aplicar medidas adicionales de seguridad”, según indicó Johannes Ullrich, de SANS Internet Storm Center, firma especializada en vigilancia de amenazas de seguridad en la web.