Scoperto codice dannoso nelle distribuzioni Linux

Una backdoor impiantata in XZ Utils è riuscita a insinuarsi in alcune distribuzioni Linux molto popolari

Alcuni cybercriminali sconosciuti hanno impiantato codice dannoso nelle versioni 5.6.0 e 5.6.1 di XZ Utils, un insieme di strumenti software open source progettati per la compressione dei file. A peggiorare le cose, le utility troianizzate sono riuscite a insinuarsi in diverse build popolari di Linux rilasciate a marzo, per cui questo incidente potrebbe essere considerato un attacco alla supply-chain. Questa vulnerabilità è stata denominata CVE-2024-3094.

Cosa rende questo impianto dannoso così pericoloso?

Inizialmente, diversi ricercatori hanno affermato che questa backdoor consentiva agli hacker di bypassare l’autenticazione sshd (il processo del server OpenSSH) e di ottenere da remoto un accesso non autorizzato al sistema operativo. Tuttavia, a giudicare dalle ultime informazioni, questa vulnerabilità non dovrebbe essere classificata come “bypass dell’autenticazione”, ma come “esecuzione di codice remoto” (RCE). La backdoor intercetta la funzione RSA_public_decrypt, verifica la firma dell’host utilizzando la chiave fissa Ed448 e, se la verifica ha esito positivo, esegue il codice dannoso passato dall’host tramite la funzione system(), senza lasciare tracce nei log di sshd.

Quali distribuzioni Linux contengono utility dannose e quali sono sicure?

Si sa che le versioni 5.6.0 e 5.6.1 di XZ Utils sono state incluse nelle build di marzo delle seguenti distribuzioni Linux:

  • Kali Linux, ma, secondo il blog ufficiale, solo quelli disponibili tra il 26 e il 29 marzo (il blog include anche le istruzioni per verificare la presenza di versioni vulnerabili delle utility);
  • openSUSE Tumbleweed e openSUSE MicroOS, disponibili dal 7 al 28 marzo;
  • Fedora 41, Fedora Rawhide e Fedora Linux 40 beta;
  • Debian (distribuzioni di testing instabili e sperimentali);
  • Arch Linux, immagini container disponibili dal 29 febbraio al 29 marzo. Il sito org afferma però che, a causa delle specificità legate all’implementazione, questo vettore di attacco non funzionerà in Arch Linux, ma raccomanda comunque vivamente di aggiornare il sistema.

Secondo le informazioni ufficiali, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap e Debian Stable non sono vulnerabili. Per quanto riguarda le altre distribuzioni, si consiglia di verificare manualmente la presenza di versioni troianizzate di XZ Utils.

Come è stato possibile impiantare il codice dannoso in XZ Utils?

A quanto pare, si tratta di un caso atipico di trasferimento del controllo. La persona che inizialmente ha mantenuto il progetto XZ Libs su GitHub ha passato il controllo del repository a un account che ha contribuito a una serie di repository relative alla compressione dei dati per diversi anni. E a un certo punto, qualcuno che si nascondeva dietro a quest’altro account ha impiantato una backdoor nel codice del progetto.

L’epidemia sfiorata che non si è mai verificata

Secondo Igor Kuznetsov, responsabile del nostro Global Research and Analysis Team (GReAT), lo sfruttamento di CVE-2024-3094 avrebbe potuto potenzialmente diventare il più grande attacco su larga scala all’ecosistema Linux in tutta la sua storia. Questo perché era rivolto principalmente ai server SSH, il principale strumento di gestione remota di tutti i server Linux su Internet. Se fosse finito nelle distribuzioni stabili, probabilmente avremmo assistito a un gran numero di attacchi ai server. Tuttavia, fortunatamente, la CVE-2024-3094 è stata rilevata nelle distribuzioni di testing e rolling, in cui vengono utilizzati i pacchetti software più recenti. In altre parole, la maggior parte degli utenti Linux è  al sicuro. Finora non abbiamo rilevato nessun caso di sfruttamento di CVE-2024-3094.

Come proteggersi?

La U.S. Cybersecurity and Infrastructure Security Agency (CISA) raccomanda a tutti coloro che hanno installato o aggiornato i sistemi operativi colpiti nel mese di marzo di eseguire immediatamente il downgrade di XZ Utils a una versione precedente (ad esempio, la versione 5.4.6). E di avviare anche una scansione alla ricerca di attività dannose.

Se avete installato una distribuzione con una versione vulnerabile di XZ Utils, è opportuno inoltre cambiare tutte le credenziali che potrebbero venire sottratte al sistema da parte degli autori delle minacce.

È possibile individuare la presenza di una vulnerabilità utilizzando la regola Yara per CVE-2024-3094.

Se si sospetta che un cybercriminale possa aver avuto accesso all’infrastruttura aziendale, è possibile utilizzare il servizio Kaspersky Compromise Assessment per scoprire eventuali attacchi passati o in corso.

Per ulteriori informazioni: dircom@argonavis.it

9 Aprile 2024

Pubblicata una vulnerabilità nella libreria Glibc

 
 
Tratto da www.kaspersky.it/blog
Redazione:  Editorial Team – 06/02/2024

6 Febbraio 2024

Linux: Kaspersky Embedded Systems Security ora lo supporta

 
 
Tratto da www.lineaedp.it
Redazione: Redazione LineaEDP – 19/07/2023

Kaspersky ha presentato una soluzione specifica per dispositivi Linux-base

 

Kaspersky ha aggiunto il supporto per Linux a Kaspersky Embedded Systems Security. Questa soluzione adattabile e multi-livello offre una protezione ottimizzata per sistemi, dispositivi e ambienti integrati basati su Linux, in conformità con i rigorosi standard normativi spesso applicabili a questi sistemi. Il prodotto garantisce una protezione ottimale a tutti i dispositivi – a prescindere dal livello di potenza – contro le ultime minacce informatiche che colpiscono gli attuali sistemi Linux. Secondo un recente report di Fortune Business Insights, il mercato globale di Linux valeva 5,33 miliardi di dollari nel 2021, ma si prevede in crescita fino a raggiungere 22,15 miliardi di dollari entro il 2029, con un tasso di incremento annuo composito del 19,8%. Concorrenziale dal punto di vista dei costi e capace di funzionare su un’ampia gamma di dispositivi hardware, Linux ha acquisito popolarità tra i sistemi embedded commerciali delle grandi aziende e delle infrastrutture critiche, tra cui banche, punti vendita al dettaglio e strutture sanitarie, e si prevede che la sua adozione crescerà significativamente nei prossimi anni.

Questa crescente diffusione sta attirando l’attenzione dei criminali informatici, che stanno sviluppando nuovi malware specializzati per queste piattaforme. Kaspersky ha registrato più di 14,5 milioni di attacchi automatici network-based su Linux nella prima metà del 2023. Questi attacchi – risultato di malware auto-distribuiti che si diffondono attraverso la rete – sono i preferiti dagli aggressori che vogliono sfruttare le vulnerabilità interne dei sistemi embedded. Nello stesso periodo, Kaspersky ha scoperto 260.000 nuovi file unici malevoli, pari a una media di oltre 1.400 nuovi file distribuiti dagli hacker ogni giorno. È chiaro che le aziende debbano impegnarsi a proteggere i propri dispositivi embedded basati su Linux.

Kaspersky ora offre un’ampia gamma di funzioni di sicurezza per rispondere alle specifiche piattaforme embedded Linux-based. Una protezione rigorosa per i dispositivi embedded autonomi (ATM, distributori automatici, ecc.) si combina con ulteriori livelli configurabili in modo flessibile, progettati per gestire le maggiori superfici di attacco dei sistemi embedded con livelli di potenza più elevati, come elettronici digitalizzati e sistemi sanitari.

Questo approccio di protezione multilivello consente di modificare l’implementazione in base a configurazioni e scenari specifici, ottimizzando le prestazioni con protezione su misura per gli scenari di minaccia rilevanti per ogni caso d’uso specifico. Il rischio di attacchi con infezione diretta su dispositivi accessibili al pubblico è contrastato da efficaci funzionalità di autoprotezione e di Integrity Monitoring. Inoltre, gli Application e Device Control prevengono gli attacchi basati sull’uso di periferiche e applicazioni non richieste e l’esecuzione di strumenti illegali. L’Integrity Monitoring, insieme alla gestione centralizzata degli eventi e all’integrazione di capacità SIEM di terze parti, aiuta le aziende che lavorano con dati finanziari e personali preziosi e sensibili a soddisfare i requisiti di compatibilità e responsabilità imposti da normative come PCI/DSS, SWIFT CSCF HIPAA, ecc.

Per ulteriori informazioni: dircom@argonavis.it

20 Luglio 2023

Le vulnerabilità di Open Management Infrastructure minacciano i dispositivi virtuali Linux su Microsoft Azure

 
Tratto da Blog Kaspersky
Autore: Hugh Aver – 20/09/2021
 
 

L’agente Open Management Infrastructure, che contiene quattro vulnerabilità, viene installato automaticamente sulle macchine Linux virtuali su Microsoft Azure

 

 
 
 

È emersa la notizia di una pratica piuttosto pericolosa in Microsoft Azure, secondo la quale quando un utente crea una macchina virtuale Linux e abilita alcuni servizi Azure, la piattaforma Azure installa automaticamente l’agente Open Management Infrastructure (OMI) sul dispositivo, senza che l’utente se ne accorga.

Anche se un’installazione “furtiva” potrebbe sembrare una cattiva idea a priori, in realtà non sarebbe così male se non fosse per due problemi: in primo luogo, l’agente ha vulnerabilità note e, in secondo luogo, non ha un meccanismo di aggiornamento automatico su Azure. Finché Microsoft non risolverà questo problema, le aziende che utilizzano dispositivi virtuali Linux su Azure dovranno prendere provvedimenti.

Vulnerabilità nell’infrastruttura di Open Management e come possono essere sfruttate dai cybercriminali

Nel Patch Tuesday di settembre, Microsoft ha rilasciato aggiornamenti di sicurezza per quattro vulnerabilità presenti nell’agente Open Management Infrastructure. Una di esse, CVE-2021-38647, permette l’esecuzione di un codice da remoto (RCE) ed è critica, mentre le altre tre, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649, possono essere utilizzate per ottenere  maggiori privilegi  di accesso (LPE – Local Privilege Escalation) in attacchi multifase. Ciò è possibile nel caso in cui i criminali informatici si siano intrufolati previamente nella rete della vittima. Queste tre vulnerabilità hanno un punteggio elevato nel CVSS.

Quando gli utenti di Microsoft Azure creano una macchina virtuale Linux e abilitano una serie di servizi, OMI (e le sue vulnerabilità) si distribuisce automaticamente nel sistema. I servizi includono Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management e Azure Diagnostics, un elenco che purtroppo è tutt’altro che completo. L’agente Open Management Infrastructure da solo ha i privilegi più alti nel sistema, e poiché i suoi compiti includono la raccolta di statistiche e la sincronizzazione delle configurazioni, è generalmente accessibile da Internet attraverso varie porte HTTP, a seconda dei servizi abilitati.

Per esempio, se la porta di ascolto è la 5986, i cybercriminali potrebbero potenzialmente sfruttare la vulnerabilità CVE-2021-38647 ed eseguire un codice dannoso da remoto. Se OMI è disponibile per la gestione remota (attraverso le porte 5986, 5985, o 1270), i cybercriminali possono sfruttare la stessa vulnerabilità per ottenere l’accesso all’intera rete locale in Azure. Gli esperti sostengono che la vulnerabilità sia molto facile da sfruttare.

 

 

Finora non sono stati segnalati attacchi in the wild, ma con le tante informazioni disponibili su come potrebbe essere facile sfruttare queste vulnerabilità, probabilmente non ci vorrà molto.

Come difendersi

Microsoft ha rilasciato delle patch per tutte e quattro le vulnerabilità. Tuttavia, OMI non si aggiorna sempre automaticamente, quindi dovrete controllare quale versione è presente sulla vostra macchina virtuale Linux. Se la versione è precedente alla 1.6.8.1, aggiornate l’agente Open Management Infrastructure. Per sapere come, potete consultare la descrizione della vulnerabilità CVE-2021-38647.

Gli esperti raccomandano anche di limitare l’accesso alla rete alle porte 5985, 5986 e 1270 per impedire a chiunque di eseguire attacch di esecuzione del codice da remoto (RCE, Remote Code Execution).

21 Settembre 2021

Linux.Encoder.1 il primo ransomware per Linux

Nel mese di novembre è stato segnalato Linux.Encoder.1, il primo ransomware per Linux.linux

Quando viene avviato con privilegi di amministrazione, il programma carica in memoria due file che contengono le istruzioni per l’attacco:

  • ./readme.crypto
  • ./index.crypto

Dopo questo il ransomware riceve la chiave pubblica RSA ed avvia il processo di crittografia solo dei file alcune estensioni.

Il malware cerca di colpire le cartelle personali dell’utente, database, webserver e pagine web operando sulle directory:

  • /home
  • /root
  • /var/lib/mysql
  • /var/www
  • /etc/nginx
  • /etc/apache2
  • /var/log
  • public_html
  • www
  • webapp
  • backup
  • .git
  • .svn

Mentre invece non effettua la crittografia delle seguenti directory:

  • /
  • /root/
  • .ssh
  • /usr/bin
  • /bin
  • /etc/ssh

Linux.Encoder.1 usa la crittografia asimmetrica RSA e la crittografia AES a 128 bit, ai file crittografati viene aggiunta l’estensione “.encrypted”

Il malware usa la funzionalità rand() della libreria libc che usa il timestamp come seme per generare le chiavi crittografiche.

Questo dettaglio è stato presto scoperto ed ha reso “prevedibile” la chiave utilizzata per la crittografia, dando l’opportunità ai tool di decodificare il contenuto dei file senza dover “pagare” per riscattare i file.

7 Aprile 2016