Hace algunas semanas, con el equipo de edición de WeLiveSecurity en Español, surgió la idea de escribir sobre las amenazas que afectan a sistemas operativos Linux. Por un tiempo, debido a viajes y otras actividades, tuve la idea congelada. Pero fue precisamente en el último viaje que realicé a Guatemala para cubrir el ESET Security Day que surgieron varias preguntas acerca de las amenazas para Linux, si realmente las había y cuáles eran.
Si bien en los últimos meses hemos publicado información sobre amenazas como Linux/Rakos, Linux/KillDisk o Linux/Shishiga, me llamó la atención que las del Top 3 del ranking de detecciones de los productos de ESET durante 2017 estuvieran relacionadas con exploits para vulnerabilidades de, por lo menos, dos años atrás.
Dados los últimos casos de propagación de códigos maliciosos explotando vulnerabilidades, vale la pena mencionar cuáles son las más aprovechadas en Linux para que las puedas corregir en tus propios servidores y no quedes expuesto.
Escalamiento de privilegios en FreeBSD
en Linux lo que más encontramos son códigos maliciosos relacionados con la explotación de vulnerabilidades
En primer lugar encontramos la detección del exploit para aprovechar la vulnerabilidad CVE-2013-2171, que permite hacer un escalamiento de privilegios en FreeBSD. Este sistema operativo quizá no sea el más popular cuando se trata de computadoras de escritorio, por su compatibilidad de hardware, pero sí es bastante utilizado cuando se trata de servidores.
Si esta vulnerabilidad reportada en junio de 2013 es explotada, puede permitir la modificación no autorizada de un archivo arbitrario al que el atacante tenga acceso de lectura. Esto, dependiendo del archivo y la naturaleza de las modificaciones, puede dar lugar a un escalamiento de privilegios.
Vale la pena aclarar que para para aprovechar esta vulnerabilidad, basta con que el atacante pueda ejecutar código arbitrario con privilegios de usuario en el sistema de destino.
La corrección de esta vulnerabilidad está disponible a partir de la versión 9.1 del sistema operativo.
Vulnerabilidades en el Kernel de Linux
En segundo lugar aparece la vulnerabilidad CVE-2014-3153, la cual está asociada con un problema en las llamadas futex. Si esta vulnerabilidad es aprovechada permitiría a un usuario local y sin privilegios bloquear el kernel (lo que resultaría en la denegación de servicio) o incluso escalar privilegios en el sistema.
Al ser una vulneribilidad en la versión 3.14.5 del Kernel de Linux, varias distribuciones se vieron afectadas. Sin embargo, la mayoría fueron corrigiéndola hacia mediados de 2014, por lo que bastaría con actualizar para corregirla.
Ubuntu con una vulnerabilidad de severidad alta
La vulnerabilidad CVE-2015-1328 está asociada con la funcionalidad OverlayFS, utilizada para unir directorios o sistemas de archivos. Esta vulnerabilidad está presente en las versiones Ubuntu 12.04/14.04/14.10/15.04.
Como no se comprueban correctamente los permisos para la creación de archivos, los usuarios locales pueden obtener acceso root al sistema.
Otras vulnerabilidades usadas
Si bien las anteriores fueron las vulnerabilidades más detectadas por nuestros productos, hay otros exploits que aparecen en el listado.
Mientras en sistemas operativos Windows hablamos de ransomware y botnets, en Linux lo que más encontramos son códigos maliciosos relacionados con la explotación de vulnerabilidades, incluso algunas con más de 10 años como CVE-2003-0127, que se encuentra dentro de los 20 códigos maliciosos más detectados en plataformas Linux.
Lo que sí resulta curioso es que todas las vulnerabilidades están en distribuciones para las cuales ya existe una actualización que corrija el problema. Así que es hora de verificar qué versión del sistema operativo estás utilizando y, si estás dentro de las versiones vulnerables, planear la mejor manera de hacer la actualización y evitarse dolores de cabeza en el futro.
Quizá una de las lecciones aprendidas después de la propagación masiva de Wannacryptor fue la de mantener actualizado Windows. Pues bien, no echemos en saco roto esta lección y apliquémoslo también a nuestros sistemas Linux.
Ya vimos amenazas como Windigo que afectaron miles de servidores y, si bien es cierto que para equipos de escritorio con distribuciones Linux no abundan los códigos maliciosos, sí hemos visto cómo cada vez son más comunes las amenazas para servidores y equipos de IoT. Así que la posibilidad de evitarte largos fines de semana corrigiendo incidentes puede partir de una correcta actualización de la infraestructura.
Sigue leyendo: ¿Necesitas realmente antivirus en equipos de escritorio Linux?