Informe de TrendMicro muestra el top 15 de principales vulnerabilidades que atacantes aprovecharon millones de veces para hackear sistemas Linux. Listado con vulnerabilidades más explotadas y algunas recomendaciones básicas de seguridad.

Cerca de 14 millones de sistemas basados ​​en Linux están expuestos directamente a Internet, lo que los convierte en un objetivo lucrativo para una serie de ataques del mundo real que podrían resultar en el despliegue de shells web maliciosas, mineros de monedas, ransomware y otros troyanos.

Eso es de acuerdo con una mirada en profundidad al panorama de amenazas de Linux publicado por la firma de ciberseguridad estadounidense-japonesa Trend Micro, que detalla las principales amenazas y vulnerabilidades que afectaron al sistema operativo en la primera mitad de 2021, según los datos recopilados de honeypots, sensores y telemetría anonimizada.

La compañía, que detectó casi 15 millones de eventos de malware dirigidos a entornos de nube basados ​​en Linux, descubrió que los mineros de monedas y el ransomware representan el 54% de todo el malware, y los shells web representan una participación del 29%.

Además, al analizar más de 50 millones de eventos informados de 100,000 hosts Linux únicos durante el mismo período de tiempo, los investigadores encontraron 15 debilidades de seguridad diferentes que se sabe que se explotan activamente en la naturaleza o que tienen una prueba de concepto (PoC):

•     CVE-2017-5638 (puntuación CVSS: 10.0) - Vulnerabilidad de ejecución remota de código (RCE) de Apache Struts 2
•     CVE-2017-9805 (puntuación CVSS: 8.1) - Vulnerabilidad XStream RCE del complemento REST de Apache Struts 2
•     CVE-2018-7600 (puntuación CVSS: 9,8): vulnerabilidad de Drupal Core RCE
•     CVE-2020-14750 (puntuación CVSS: 9,8): vulnerabilidad de RCE de Oracle WebLogic Server
•     CVE-2020-25213 (puntuación CVSS: 10.0) - Vulnerabilidad RCE del complemento del administrador de archivos de WordPress (wp-file-manager)
•     CVE-2020-17496 (puntuación CVSS: 9,8) - vulnerabilidad RCE no autenticada de vBulletin 'subwidgetConfig'
•     CVE-2020-11651 (puntuación CVSS: 9,8) - Vulnerabilidad de debilidad de autorización de SaltStack Salt
•     CVE-2017-12611 (puntuación CVSS: 9,8): vulnerabilidad de RCE de expresión OGNL de Apache Struts
•     CVE-2017-7657 (puntuación CVSS: 9,8): vulnerabilidad de desbordamiento de enteros al analizar la longitud del fragmento de Eclipse Jetty
•     CVE-2021-29441 (puntuación CVSS: 9,8): vulnerabilidad de omisión de autenticación de Alibaba Nacos AuthFilter
•     CVE-2020-14179 (puntuación CVSS: 5,3): vulnerabilidad de divulgación de información de Atlassian Jira
•     CVE-2013-4547 (puntuación CVSS: 8.0): vulnerabilidad de omisión de restricción de acceso de manejo de cadena URI diseñada por Nginx
•     CVE-2019-0230 (puntuación CVSS: 9,8): vulnerabilidad de Apache Struts 2 RCE
•     CVE-2018-11776 (puntuación CVSS: 8.1): vulnerabilidad de RCE de expresión OGNL de Apache Struts
•     CVE-2020-7961 (puntuación CVSS: 9,8): vulnerabilidad de deserialización no confiable de Liferay Portal

Aún más preocupante, se ha revelado que las 15 imágenes de Docker más utilizadas en el repositorio oficial de Docker Hub albergan cientos de vulnerabilidades que abarcan:

• python
• node
• wordpress
• golang
• nginx
• postgres
• influxdb
• httpd
• mysql
• debian
• memcached
• redis
• mongo
• centos
• rabbitmq

"Los usuarios y las organizaciones siempre deben aplicar las mejores prácticas de seguridad, que incluyen utilizar el enfoque de seguridad por diseño, implementar parches virtuales de múltiples capas o protección contra vulnerabilidades, emplear el principio de privilegio mínimo y adherirse al modelo de responsabilidad compartida", concluyeron los investigadores. 

Cómo proteger Linux usando herramientas y configuraciones nativas de Linux

Herramientas o configuraciones nativas de Linux 

Descripción de la configuración o herramienta de Linux

• iptables Esta utilidad de firewall basada en reglas de Linux se puede utilizar para configurar, mantener e inspeccionar las tablas de reglas de filtrado de paquetes IP en el kernel de Linux. Esto significa que iptables puede permitir o bloquear el tráfico de manera efectiva buscando una regla con la que se corresponda con una solicitud de conexión. Esta herramienta generalmente viene instalada de forma predeterminada en la mayoría de los sistemas operativos Unix o basados ​​en Unix.

• seccomp El modo de computación segura (seccomp) es una característica de seguridad popular del kernel de Linux que restringe el acceso a las llamadas al sistema (syscalls) por procesos. Esto significa que seccomp puede filtrar llamadas al sistema y permitir o limitar las llamadas al sistema que se pueden ejecutar en el sistema.

• AppArmor AppArmor es un sistema de seguridad de control de acceso (MAC) obligatorio para aplicaciones Linux. Utiliza perfiles de programa para restringir las capacidades de programas individuales.

• SELinux Security-Enhanced Linux (SELinux) Linux es una aplicación de un MAC reforzado diseñado para cumplir con varios requisitos de seguridad. Aplica etiquetas de seguridad a los objetos y evalúa todas las interacciones relevantes para la seguridad a través de la política de seguridad. Cuando un sujeto (como una aplicación o un proceso) solicita acceder a un objeto (como un archivo), SELinux verificará el permiso asignado para sujetos y objetos a través de una caché de vector de acceso (AVC).

• grsecurity Este es un extenso conjunto de mejoras de seguridad para el kernel de Linux que usa control de acceso basado en roles (RBAC), prevención de exploits basada en corrupción de memoria y una serie de otras características de refuerzo del sistema que defienden contra una amplia gama de amenazas de seguridad. Estos parches se utilizan para verificar conexiones remotas desde ubicaciones que no son de confianza, como servidores web y sistemas que ofrecen acceso de shell a sus usuarios.

• PaX El comando de intercambio de archivos portátiles (PaX) implementa las protecciones de privilegios mínimos para las páginas de memoria. PaX puede ejecutar datos como código, lo que normalmente no es una característica de ciertos tipos de programas, pero a menudo es utilizado por actores malintencionados para comprometer los sistemas. Puede ayudar a prevenir la ejecución de código malicioso o no intencionado.

Fuente:

https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/linux-threat-report-2021-1h-linux-threats-in-the-cloud-and-security-recommendations

Vía:

https://thehackernews.com/2021/08/top-15-vulnerabilities-attackers.html