Shellshock ha sido una de la vulnerabilidad más
graves detectadas en los últimos meses, fue solucionada a las pocas horas
de su descubrimiento gracias, sin embargo, muchas
aplicaciones que también puedan ejecutar código por su cuenta basadas en Bash
no se han actualizado correctamente siendo aún vulnerables a estos ataques. Uno
de los ejemplos más claros de esto es BusyBox.
BusyBox es una aplicación que facilita una línea de
comandos en los sistemas operativos con diferentes funciones que, por defecto,
no estarían incluidas en Bash. Estas funciones nos van a permitir, por ejemplo,
reducir el tamaño de los binarios de las aplicaciones, compilarlas de nuevo,
congelarlas en el sistema y muchas más.
Trend Micro ha detectado una nueva variante de BashLite
que busca atacar y explotar sistemas operativos que ejecutan BusyBox utilizando
la vulnerabilidad Shellshock. BusyBox es un sistema muy utilizado especialmente
en smartphones Android con permisos de Root y routers avanzados, por lo que
estos dispositivos van a ser principalmente los más atacados.
Cuando este malware llega a un sistema (Windows, por
ejemplo) automáticamente analiza la red en busca de smartphones, routers y
otros dispositivos vulnerables. Una vez detecta uno utiliza la fuerza bruta
para conseguir iniciar sesión en un terminal ssh en ellos y, una vez dentro,
ejecuta dos scripts (bin.sh y bin2.sh) en el sistema vulnerable. Esto demuestra
que a diferencia de las primeras versiones de BashLite, esta ya no sólo
identifica objetivos potenciales sino que también los explota.
Al igual que se puede explotar de esta forma también se
pueden desarrollar aplicaciones maliciosas que exploten la vulnerabilidad a
través de BusyBox de forma local. Debemos tener cuidado con las fuentes desde
las que descargamos las aplicaciones para evitar ser víctimas de un ataque
informático utilizando esta vulnerabilidad. Para explotar Shellshock es
necesario que el código se ejecute en nuestro sistema de forma local (mediante
un script o aplicación maliciosa, por ejemplo) ya que de forma remota no puede
ser explotado salvo en una red local como hace BashLite.
Para protegernos de este malware que explota Shellshock
es recomendable actualizar los módulos de BusyBox a la espera de una
actualización de seguridad, cambiar las contraseñas por defecto de nuestros
dispositivos y desactivar siempre que sea posible el Shell remoto para evitar
que el malware pueda localizar nuestros dispositivos en la red.
Fuente: The Hacker News