CISA advierte de un nuevo malware que aprovecha vulnerabilidades conocidas del kernel
El año pasado, CISA creó una lista de vulnerabilidades explotadas activamente y una lista de aplicaciones directamente afectadas por esas vulnerabilidades. Con el tiempo, la lista se ha ido actualizando para reflejar las amenazas nuevas y emergentes.
Muy recientemente, se descubrió un nuevo malware y CISA añadió dos nuevas vulnerabilidades a esa lista, ya que están siendo explotadas activamente por el malware para propagarse a nuevos sistemas objetivo.
El malware en cuestión se llama "Shikitega"identificado por Alien Labs de AT&T en septiembre. Se dirige a sistemas que ejecutan Linux, incluidos dispositivos IoT, y obtiene acceso total al sistema aprovechando exploits conocidos en el kernel de Linux. Hasta ahora, se ha utilizado para desplegar mineros de criptomonedas en los sistemas afectados, pero este tipo de malware suele ser lo suficientemente flexible como para desplegar diferentes cargas útiles en diferentes objetivos (por ejemplo, ransomware en lugar de un minero de criptomonedas).
Las dos vulnerabilidades son CVE-2021-4034 y CVE-2021-3493. Ambas fueron identificadas, como indica su identificador, en 2021, y ambas tienen parches disponibles. El hecho de que todavía haya sistemas vulnerables a ellas habla de lo lentos que son los procesos de aplicación de parches adecuados en muchas organizaciones.
CVE-2021-4034más conocido por el nombre de PwnKit, dio la vuelta a varios sitios de noticias, facilitado por el hecho de que su exploit era fiable y relativamente fácil de activar y por lo ampliamente extendido que estaba - ya que pkexec, su objetivo, está presente en la mayoría (¿todos?) de los sistemas Linux. Encontrará una descripción más detallada en el blog de TuxCare aquí.
La otra vulnerabilidad, CVE-2021-3493es un error en la implementación de overlayFS, y se utilizó junto con PwnKit para obtener privilegios elevados en los sistemas de destino.
Añadiendo esas vulnerabilidades al Catálogo de vulnerabilidades explotadas conocidasla CISA ha establecido un plazo estricto para que los organismos federales corrijan esos fallos en los sistemas que gestionan.
Si sigue utilizando sistemas sin parches contra estas y otras muchas vulnerabilidades del núcleo de Linux, debería plantearse un enfoque diferente para sus operaciones de gestión de parches y considerar una alternativa sin interrupciones a los parches tradicionales utilizando el servicio Live Patching de KernelCare. KernelCare parchea rápidamente las vulnerabilidades, proporcionando la protección necesaria contra Shikitega y otras amenazas que podrían aprovecharse de ellas.