peligroso backdoor de Linux podría desencadenar severos ataques


Muchos investigadores creen que este nuevo troyano podría detonar una importante oleada de ciberataques.

Investigadores en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la aparición de una campaña de minado de criptomoneda que utiliza el backdoor de Linux SpeakUp. Según los reportes, esta campaña ya habría infectado a más de 70 mil servidores en todo el mundo y podría haber sentado las bases para conformar una botnet masiva. 

SpeakUp se dirige a los servidores locales, así como a las máquinas alojadas en la nube (como en Amazon Web Services, por ejemplo); además se cree que no sólo se limita a actuar en Linux, sino que también es capaz de infectar dispositivos MacOS. 

El especialista en seguridad en redes Oded Vanunu ha mencionado que este ataque se extiende a servidores que ejecutan ThinkPHP, Hadoop, Oracle WebLogic, Apache ActiveMQ y Red Hat JBoss. Además, el especialista destaca que, debido a que este software se puede implementar en servidores virtuales, toda infraestructura en la nube también podría ser comprometida.   

La infección comienza cuando se detecta una vulnerabilidad de ejecución remota de código (CVE-2018-20062); el código utiliza técnicas de inyección de comandos para cargar un shell de PHP que sirve y ejecuta un backdoor de Perl.
SpeakUp cuenta con un script en Python para su propagación cuyas funciones principales son usar fuerza bruta contra paneles administrativos y escanear el entorno de la máquina infectada. Para esto, SpeakUp verifica la disponibilidad de puertos específicos en servidores que comparten la misma máscara de subred interna y externa. La idea es escanear e infectar los servidores Linux más vulnerables dentro de sus subredes internas y externas, utilizando una amplia gama de exploits.

Para su propagación, SpeakUp explota vulnerabilidades conocidas en seis distros de Linux diferentes:
  • Omisión de seguridad de la plataforma de aplicaciones empresariales JBoss (CVE-2012-0874)
  • Vulnerabilidad de ejecución remota de código de JBoss Seam Framework (CVE-2010-1871)
  • Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2018-2894)
  • Exploit de ejecución de comando Hadoop YARN ResourceManager
  • Vulnerabilidad de ejecución remota de código de Oracle WebLogic (CVE-2017-10271)
  • Vulnerabilidad de carga de archivos de Apache ActiveMQ Fileserver (CVE-2016-3088)
“La explotación exitosa de una de estas vulnerabilidades resultará en la implementación del script original en el servidor explotado”, mencionan los expertos en seguridad en redes.  

Las descargas de archivos que el backdoor está mostrando son simples scripts de minado de la criptomoneda Monero, sin embargo, los autores de SpeakUp pueden descargar a los servidores cualquier clase de código. Algunos especialistas consideran que la inyección de código de minería podría tratarse de una especie de prueba beta para futuras actividades de hacking. “El actor de amenazas detrás de esta campaña puede desplegar en cualquier momento cargas útiles adicionales, potencialmente más intrusivas y ofensivas. Tiene la capacidad de escanear la red de un servidor infectado y distribuir malware”, concluyeron los especialistas.

Las primeras víctimas de SpeakUp fueron registradas en América Latina y Asia, aunque los expertos consideran que Estados Unidos podría comenzar a registrar los primeros casos de infección por SpeakUp en los próximos días.





Compartir...
Siguenos en twitter: @disoftin

Publicar un comentario

0 Comentarios