Millones de ordenadores vulnerables ante Shellshock, un nuevo agujero de seguridad

El pasado mes de abril el fallo de seguridad Heartbleed se presentó como una de las mayores amenazas de seguridad jamás registradas. Un agujero en las herramientas de cifrado OpenSSL -usado por muchos servicios web- permitía descifrar contraseñas o números de tarjetas de crédito. Pero una nueva vulnerabilidad anunciada ayer podría igualar o superar su alcance. El conocido como Shellshock tiene potencial para convertirse en un enorme quebradero de cabeza para la industria informática.

La vulnerabilidad aprovecha un fallo de la herramienta ‘bash’, el intérprete de la línea de comandos presente en la mayoría de sistemas Unix y, por extensión, en muchos de los equipos que funcionan con Linux y todos los ordenadores Mac. Un descuido en el diseño permite a un atacante ejecutar código en el ordenador de la víctima y tomar el control de la misma.

La vulnerabilidad, hecha pública por el experto en seguridad Unix Stephane Chazelas, podría llevar activa más de 20 años y afecta a todas las versiones de bash hasta la 4.3. Como Linux es el sistema operativo utilizado en la mayoría de servidores de la red, el fallo puede tener graves consecuencias. El Centro de Alerta Temprana para Emergencias Informáticas de EE.UU. ha elevado la vulnerabilidad al máximo nivel de alerta y recomienda instalar un parche con urgencia.

Robert Graham, experto en seguridad, considera que Shellshock puede tener extensas ramificaciones durante los próximos años. En peligro no sólo están los ordenadores y muchos de los servidores de la web sino también objetos de electrónica de consumo que usan versiones modificadas de Linux como sistema operativo. “Objetos conectados como cámaras de vídeo IP son especialmente vulnerables y rara vez se actualizan”, asegura en su blog.

Aunque la mayoría de sistemas clave se actualicen con urgencia, muchos accesorios y equipamiento de red fabricado durante la última década no se protegerá correctamente. “Lo que veremos es que durante los próximos años es que esta será una herramienta o vector de ataque más a la hora de intentar comprometer un sistema”, añade. La empresa Kaspersky Lab asegura que la vulnerabilidad ya se ha usado en varios ataques. Las principales distribuciones de LInux (CentOS, Debian, RedHat y Ubuntu) han creado ya actualizaciones que incluyen el parche para la vulnerabilidad.

Fuente: El Mundo