Un fallo de seguridad en Bash, más peligroso que Heartbleed

Sólo unos meses después de la ola de panico desatada por Heartbleed, un nuevo fallo de seguridad, conocido como Bash bug o Shellshock, amenaza con poner en peligro todos los dispositivos conectados a la Red, desde grandes servidores a webcams.

Este fallo de seguridad permite la ejecución de código malicioso en el shell bash -consultado comúnmente a través del símbolo del sistema en PC o la aplicación Terminal en Mac- para hacerse con el control del sistema operativo y acceder a información confidencial. El error se “activa” cuando se añade código adicional dentro de las líneas de código Bash.

Esta vulnerabilidad podría afectar tanto a los dispositivos Unix y Linux, como al hardware que ejecuta Mac OS X. Según Ars Technica, una prueba en la versión 10.9.4 (Mavericks) de Mac OS X demostró que este sistema tiene “una versión vulnerable de Bash”.

La compañía de software de código abierto Red Hat advirtió de que “una gran cantidad de programas ejecutan el shell Bash en segundo plano”. Esta nueva vulnerabilidad podría significar un grave problema tanto para las principales empresas digitales, como para los negocios de Internet a pequeña escala.

El experto en seguridad Robert Graham ha advertido de que Bash es un fallo más grande que Heartbleed porque “el bug interactúa con otro software de maneras inesperadas”, debido al “enorme porcentaje” de software que interactúa con el shell.

“Nunca vamos a ser capaces de catalogar todo el software que es vulnerable al error Bash“, asegura Graham. “Mientras que los sistemas conocidos (como su servidor web) tienen parches, los sistemas desconocidos permanecen sin parchear, como hemos visto con Heartbleed: seis meses después, cientos de miles de sistemas siguen siendo vulnerables”.