Hace unos meses, la vulnerabilidad en el código de cifrado OpenSSL conocida como Heartbleed puso en jaque a media Internet. Ahora, expertos en seguridad avisan de un nuevo fallo conocido como Bash, o shellshock bug, por afectar precisamente al programa informático Bash de ejecución de comandos. La vulnerabilidad permite a atacantes robar datos y ejecutar malware en sistemas Linux, Unix y Mac OS X.

El fallo, descubierto por el experto en seguridad Stephane Schazelas, se trata de una variante de un agujero conocido desde hace años en el programa Bash. Dada su amplia distribución a nivel empresarial, los atacantes pueden utilizarlo para infiltrar sistemas Unix, Linux y Mac OS X en múltiples equipos, incluidos servidores, ordenadores y hasta por ejemplo cámaras WiFi conectadas, ya que suelen utilizar software que ejecuta comandos mediante Bash.

Advertisement

Según el experto de seguridad Robert Graham, el agujero de seguridad puede ser más importante que Heartbleed en extensión y número de dispositivos afectados, entre otras cosas porque al tratarse de una variante de un viejo fallo, hay muchos dispositivos antiguos vulnerables. Sin embargo, el nivel de daño que podría causar un ataque utilizando esta vía es potencialmente menor.

Según ha podido comprobar Ars Technica, la versión de Mac OS X 10.9.4 (Mavericks), por ejemplo, es vulnerable a este fallo. Apple aún no ha parcheado el uso del programa Bash en el sistema, aunque sí ha publicado una actualización de Command Line Tools para administradores.

Advertisement

Desde el punto de vista del usuario, no hay nada que se pueda hacer. Son los administradores de sistemas en las empresas y los distribuidores de Linux los que tienen que parchear el software. Varios distribuidores de Linux, como Red Hat o Fedora, ya han reconocido la gravedad del fallo y han publicado parches para el mismo (todavía no 100% completos), pero ahora falta que el resto, y las empresas y administradores, actúen rápido para solucionarlo.

Más datos sobre esta vulnerabilidad en la página de Red Hat y en la del experto de seguridad Robert Graham. Los administradores también pueden comprobar si un sistema Linux o Unix es vulnerable ejecutando estos comandos. [vía Red Hat y Robert Graham]

Imagen: igor.stevanovic / Shutterstock

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)