Un honeypot operado por investigadores de AlienVault detectó dos muestras distintas de malware que intentaban aprovechar la vulnerabilidad recién descubierta en Bash.

Una de las muestras es un bot IRC reutilizado y escrito en Perl que está tratando de construir una red de bots para lanzar ataques de denegación de servicio (DDoS), dijo Jaime Blasco, director de AlienVault Labs. Hasta el momento, mencionó que son 715 víctimas y que hay frases escritas en rumano en el código fuente.

"Esas piezas de malware son en realidad reutilizadas de ataques anteriores; no fueron desarrolladas para esta vulnerabilidad específica", dijo Blasco. "Sólo actualizaron piezas de código para infectar el sistema. Todavía tenemos que conocer el vector de ataque".

La otra pieza de malware descarga y ejecuta un binario ELF (ejecutable y enlazable) que intenta robar información del sistema de la máquina comprometida, incluyendo los datos de configuración. También es una bot DDoS, dijo Blasco. La muestra intenta abrir una conexión a un servidor de comando y control en la dirección IP 89 [.] 238 [.] 150 [.] 154 por el puerto 5, pero ese servidor está caído.

El malware soporta varios comandos, incluyendo JUNK e inundaciones UDP y TCP. También incluye una lista de posibles combinaciones de nombres de usuario y contraseñas por defecto, posiblemente para ser utilizadas en ataques de fuerza bruta. Otra muestra en el mismo servidor, dijo Blasco, es similar excepto que se conecta a 162 [.] 253 [.] 66 [.] 76 en el puerto 53.

"Hemos estado investigando [cómo se propaga el malware], pero aún no lo sabemos"[...]"Muchos de los sistemas son vulnerables a Bash, pero eso no significa que sean explotables"[...]"La razón por la que instalamos esto es porque sabíamos lo que iba a suceder", añadió Blasco. "Nosotros predijimos más o menos este tipo de ataques de malware para lanzar ataques DDoS."

La vulnerabilidad Bash fue divulgada recientemente; Bash es el shell de línea de comandos por defecto para la mayoría de los sistemas Linux, UNIX y Mac OS X, muchas funciones ocultas en estos sistemas pueden llamar a Bash, aumentando la dificultad de evaluar y parchear servidores web vulnerables y dispositivos integrados.

Los parches para Bash fueron distribuídos rápidamente por Red Hat, Ubuntu, CentOS, Debian y otras distribuciones de Linux, pero esta mañana, los informes procendentes de Red Hat y otros indicaron que los primeros parches estaban incompletos y que otras actualizaciones estaban próximas a lanzarse.

Otro exploit fue reportado el viernes pasado por un investigador que se hace llamar Yinette y que también estaba tratando de construir una botnet DDoS. No está claro si esto está relacionado con cualquiera de las piezas de código analizada por AlienVault.