NUEVO Y PELIGROSO BACKDOOR DE LINUX PODRÍA DESENCADENAR SEVEROS ATAQUES

Muchos investigadores creen que este nuevo troyano podría detonar una importante oleada de ciberataques

Investigadores en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la aparición de una campaña de minado de criptomoneda que utiliza el backdoor de Linux SpeakUp. Según los reportes, esta campaña ya habría infectado a más de 70 mil servidores en todo el mundo y podría haber sentado las bases para conformar una botnet masiva.

SpeakUp se dirige a los servidores locales, así como a las máquinas alojadas en la nube (como en Amazon Web Service, por ejemplo); además se cree que no sólo se limita a actuar en Linux, sino que también es capaz de infectar dispositivos MacOS.

El especialista en seguridad en redes Oded Vanunu ha mencionado que este ataque se extiende a servidores que ejecutan ThinkPHP, Hadoop, Oracle WebLogic, Apache ActiveMQ y Red Hat JBoss. Además, el especialista destaca que, debido a que este software se puede implementar en servidores virtuales, toda infraestructura en la nube también podría ser comprometida.   

La infección comienza cuando se detecta una vulnerabilidad de ejecución remota de código (CVE-2018-20062); el código utiliza técnicas de inyección de comandos para cargar un shell de PHP que sirve y ejecuta un backdoor de Perl.

SpeakUp cuenta con un script en Python para su propagación cuyas funciones principales son usar fuerza bruta contra paneles administrativos y escanear el entorno de la máquina infectada. Para esto, SpeakUp verifica la disponibilidad de puertos específicos en servidores que comparten la misma máscara de subred interna y externa. La idea es escanear e infectar los servidores Linux más vulnerables dentro de sus subredes internas y externas, utilizando una amplia gama de exploits.

Para su propagación, SpeakUp explota vulnerabilidades conocidas en seis distros de Linux diferentes:

• Omisión de seguridad de la plataforma de aplicaciones empresariales JBoss (CVE-2012-0874)
• Vulnerabilidad de ejecución remota de código de JBoss Seam Framework (CVE-2010-1871)
• Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2018-2894)
• Exploit de ejecución de comando Hadoop YARN ResourceManager
• Vulnerabilidad de ejecución remota de código de Oracle WebLogic (CVE-2017-10271)
• Vulnerabilidad de carga de archivos de Apache ActiveMQ Fileserver (CVE-2016-3088)

“La explotación exitosa de una de estas vulnerabilidades resultará en la implementación del script original en el servidor explotado”, mencionan los expertos en seguridad en redes.  

Las descargas de archivos que el backdoor está mostrando son simples scripts de minado de la criptomoneda Monero, sin embargo, los autores de SpeakUp pueden descargar a los servidores cualquier clase de código. Algunos especialistas consideran que la inyección de código de minería podría tratarse de una especie de prueba beta para futuras actividades de hacking. “El actor de amenazas detrás de esta campaña puede desplegar en cualquier momento cargas útiles adicionales, potencialmente más intrusivas y ofensivas. Tiene la capacidad de escanear la red de un servidor infectado y distribuir malware”, concluyeron los especialistas.

Las primeras víctimas de SpeakUp fueron registradas en América Latina y Asia, aunque los expertos consideran que Estados Unidos podría comenzar a registrar los primeros casos de infección por SpeakUp en los próximos días.

Fuente:https://noticiasseguridad.com/malware-virus/nuevo-y-peligroso-backdoor-de-linux-podria-desencadenar-severos-ataques/?fbclid=IwAR01Q72oupMNos-dw14fcbIuDdG-gKjf7nvUuQBcln9e0u7ZtWgevgOy_1M

Análisis

Los administradores de sistemas deben estar a la vanguardia de las actualizaciones que se tienen sobre los sistemas operativos que están trabajando algunas de estas actualizaciones tienen que ver con la seguridad y corrigen fallos detectados en el sistema,otro punto importante es tener antivirus actualizados en los equipos del personal de la empresa  ya que por lo general el malware entra a una computadora de la empresa y se esparce por la red hasta llegar al servidor, esto me lleva a otro punto que es limitar las paginas que visitan los usuarios  de nuestra red ya que por un link  en facebook malintencionado podemos tener serios problemas, en pocas palabras lo que se debe de buscar es hacer hardening a sus sistemas o por su traducción endurecimiento, lo que se busca con esto es reducir la vulnerabilidades cerrando puertos, eliminar software,servicios etc. que sean innecesarios en el sistema ademas de aplicar otro tipo de técnicas mas complejas con el fin de estar mas protegido de amenazas de este tipo ya que el minado de criptogramas a través de malware se ha puesto muy de moda.