DEFINICIÓN DEL VIRUS

Tipo de virus: virus/error/malware
También se denomina: CVE-2014-6271

¿Qué es el virus de error de "Bash"?

El "error de bash", también conocido como vulnerabilidad Shellshock, plantea una amenaza grave para todos los usuarios. La amenaza aprovecha el software de sistema Bash común en sistemas Linux y Mac OS X para permitir a los atacantes tomar el control de dispositivos electrónicos. Un atacante sencillamente puede ejecutar comandos a nivel de sistema, con los mismos privilegios que los servicios afectados.

La falla permite a un atacante adjuntar en forma remota un ejecutable malicioso a una variable que se ejecuta cuando se invoca Bash.

En la mayoría de los ejemplos que actualmente existen en Internet, los atacantes atacan en forma remota los servidores web que albergan scripts CGI escritos en Bash.

Al momento de escribir estas líneas, la vulnerabilidad ya fue utilizada con intenciones maliciosas para infectar servidores web vulnerables con malware, y también en ataques de hackers. Nuestros investigadores se dedican constantemente a recopilar nuevas muestras e indicaciones de infecciones basadas en esta vulnerabilidad; además, pronto publicaremos más información sobre este tipo de malware.

La vulnerabilidad reside en el intérprete de shell bash y permite a un atacante anexar comandos a nivel de sistema a las variables del entorno Bash.

Cómo funciona el error de "Bash"

Cuando tienes un script CGI en un servidor web, este lee automáticamente ciertas variables del sistema, por ejemplo, tu dirección IP, la versión de tu navegador e información sobre el sistema local.

Sin embargo, imagina por un momento que, además de pasar esta información del sistema normal al script CGI, pudieras ordenar al script que ejecute comandos a nivel de sistema. El resultado sería que, sin necesidad de tener las credenciales para acceder al servidor web, el script CGI podría leer las variables de tu entorno tan pronto como accedes a él; y, si dichas variables contienen la cadena del exploit, el script también puede ejecutar el comando que especificaste.

Lo que convierte al error de bash en una vulnerabilidad única

  1. Es muy fácil de aprovechar
  2. El alcance del virus bash es muy grave
  3. Afecta a cualquier tipo de software que usa el intérprete de bash

Los investigadores están tratando de identificar además si otros intérpretes, como PHP, JSP, Python o Perl, también se ven afectados. Según cómo se escriba el código, un intérprete a veces usa bash para ejecutar ciertas funciones; y si este es el caso, es posible que se puedan usar otros intérpretes para aprovechar la vulnerabilidad CVE-2014-6271.

Los investigadores están tratando de identificar además si otros intérpretes, como PHP, JSP, Python o Perl, también se ven afectados. Según cómo se escriba el código, un intérprete a veces usa bash para ejecutar ciertas funciones; y si este es el caso, es posible que se puedan usar otros intérpretes para aprovechar la vulnerabilidad CVE-2014-6271.

El impacto es increíblemente grave, puesto que existen numerosos dispositivos integrados que usan scripts CGI, como enrutadores, electrodomésticos y puntos de acceso inalámbrico. Estos dispositivos también son vulnerables y, en algunos casos, difíciles de parchear.

Cómo identificar si tu dispositivo está infectado

La manera más fácil de comprobar si tu sistema es vulnerable es abrir un shell bash en el sistema y ejecutar el comando siguiente:

Bash Virus Info

Si el shell devuelve la cadena "vulnerable", debes actualizar tu sistema.

Red Hat incluye enlaces a un paso de diagnóstico que permite a los usuarios efectuar pruebas para detectar versiones vulnerables de Bash; visita https://access.redhat.com/articles/1200223

Otra manera de averiguar si fuiste infectado por el virus Bash es revisar los registros de HTTP y verificar si existe algo sospechoso. A continuación, te ofrecemos un ejemplo de un patrón malicioso:

Bash Virus Info

También existen algunos parches para Bash que registran cada comando que se pasa al intérprete de Bash. Existe una forma práctica de averiguar si alguien se ha aprovechado de tu equipo. No evitará que alguien se aproveche de esta vulnerabilidad, pero registrará las acciones del atacante en el sistema.

Cómo detener el virus de error de "Bash"

Lo primero que debes hacer es actualizar tu versión de Bash. Varias distribuciones de Linux ofrecen parches para esta vulnerabilidad; además, aunque no todos los parches han demostrado ser eficaces, lo primero que debes hacer es aplicarlos.

Si estás usando cualquier IDS/IPS, también se recomienda agregar o cargar una firma para esto. Se han publicado numerosas reglas públicas al respecto.


Procura revisar también la configuración del servidor web. Si hay scripts CGI que no estás usando, considera deshabilitarlos.

Otros artículos y enlaces relacionados con el virus de error de "Bash"