Muchos investigadores creen que este nuevo troyano podría detonar una importante oleada de ciberataques.
Investigadores en seguridad
en redes del Instituto Internacional de Seguridad Cibernética reportan
la aparición de una campaña de minado de criptomoneda que utiliza el backdoor
de Linux SpeakUp. Según los
reportes, esta campaña ya habría infectado a más de 70 mil servidores en todo
el mundo y podría haber sentado las bases para conformar una botnet masiva.
SpeakUp se dirige a los
servidores locales, así como a las máquinas alojadas en la nube (como en Amazon
Web Services, por ejemplo); además se cree que no sólo se limita a actuar
en Linux, sino que también es capaz de infectar dispositivos MacOS.
El especialista en seguridad en
redes Oded Vanunu ha mencionado que este ataque se extiende a servidores que
ejecutan ThinkPHP, Hadoop, Oracle WebLogic, Apache ActiveMQ y Red Hat JBoss. Además,
el especialista destaca que, debido a que este software se puede implementar en
servidores virtuales, toda infraestructura en la nube también podría ser
comprometida.
La infección comienza cuando se
detecta una vulnerabilidad de ejecución remota de código (CVE-2018-20062); el
código utiliza técnicas de inyección de comandos para cargar un shell de PHP
que sirve y ejecuta un backdoor de Perl.
SpeakUp cuenta con un script en
Python para su propagación cuyas funciones principales son usar fuerza bruta
contra paneles administrativos y escanear el entorno de la máquina infectada. Para
esto, SpeakUp verifica la disponibilidad de puertos específicos en servidores
que comparten la misma máscara de subred interna y externa. La idea es escanear
e infectar los servidores Linux más vulnerables dentro de sus subredes internas
y externas, utilizando una amplia gama de exploits.
Para su propagación, SpeakUp
explota vulnerabilidades conocidas en seis distros de Linux diferentes:
- Omisión de seguridad de la plataforma de aplicaciones empresariales JBoss (CVE-2012-0874)
- Vulnerabilidad de ejecución remota de código de JBoss Seam Framework (CVE-2010-1871)
- Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2018-2894)
- Exploit de ejecución de comando Hadoop YARN ResourceManager
- Vulnerabilidad de ejecución remota de código de Oracle WebLogic (CVE-2017-10271)
- Vulnerabilidad de carga de archivos de Apache ActiveMQ Fileserver (CVE-2016-3088)
“La explotación exitosa de una de
estas vulnerabilidades resultará en la implementación del script original en el
servidor explotado”, mencionan los expertos en seguridad en redes.
Las descargas de archivos que el
backdoor está mostrando son simples scripts de minado de la criptomoneda
Monero, sin embargo, los autores de SpeakUp pueden descargar a los servidores
cualquier clase de código. Algunos especialistas consideran que la inyección de
código de minería podría tratarse de una especie de prueba beta para futuras
actividades de hacking. “El actor de amenazas detrás de esta campaña puede
desplegar en cualquier momento cargas útiles adicionales, potencialmente más
intrusivas y ofensivas. Tiene la capacidad de escanear la red de un servidor
infectado y distribuir malware”, concluyeron los especialistas.
Las primeras víctimas de SpeakUp
fueron registradas en América Latina y Asia, aunque los expertos consideran que
Estados Unidos podría comenzar a registrar los primeros casos de infección por
SpeakUp en los próximos días.
Fuente: https://thehackernews.com/
Compartir...
Siguenos en twitter: @disoftin
0 Comentarios