El falso PoC para la vulnerabilidad de Linux contiene malware

Ha aparecido una falsa prueba de concepto (PoC) dirigida a investigadores de ciberseguridad que instala malware diseñado para robar contraseñas de Linux. Los analistas de Uptycs se toparon con este PoC malicioso durante sus escaneos rutinarios cuando los sistemas de detección marcaron actividades sospechosas, incluyendo conexiones de red inesperadas, intentos no autorizados de acceder a los sistemas y transferencias de datos inusuales.

El falso PoC malicioso estaba alojado inicialmente en tres repositorios de GitHub, pero ya han sido eliminados. No obstante, se ha informado de que la PoC maliciosa ha circulado ampliamente entre la comunidad de investigadores de seguridad, suscitando preocupación por posibles infecciones en numerosos ordenadores.

Detalles del falso PdC

El falso PoC parece ser un exploit para CVE-2023-35829, una vulnerabilidad crítica de uso después de la liberación que afecta a las versiones del kernel de Linux anteriores a la 6.3.2. Sin embargo, un examen más detallado hace evidente que este PoC es en realidad un duplicado de un exploit auténtico para un fallo diferente del kernel de Linux. Sin embargo, tras un examen más detallado, se hace evidente que este PoC es en realidad un duplicado de un exploit auténtico más antiguo destinado a un fallo diferente del kernel de Linux, CVE-2022-34918.

El código emplea espacios de nombres de Linux, que se utilizan para segregar los recursos del núcleo, creando una fachada de shell raíz. A pesar de esta apariencia, los privilegios del PoC permanecen confinados dentro del espacio de nombres de usuario.

El objetivo principal de emplear este tipo de engaño es persuadir a las víctimas para que crean que el exploit es auténtico y funcional. De este modo, los atacantes ganan más tiempo para operar sin restricciones en el sistema comprometido.

Tras la activación, el PoC crea un archivo "kworker" y añade su ruta al archivo "/etc/bashrc", garantizando así la persistencia incluso después de reiniciar el sistema.

Además, el PoC establece comunicación con el servidor de Mando y Control (C2) del atacante para descargar y ejecutar un script bash de Linux desde una URL externa. Este script descargado está diseñado para acceder al archivo '/etc/passwd' para robar datos valiosos del sistema. Además, manipula el archivo "~/.ssh/authorized_keys", otorgando al atacante acceso remoto no autorizado al servidor. Finalmente, el script emplea 'curl' para exfiltrar datos vis 'transfer.sh'.

Los datos robados comprenden el nombre de usuario de la víctima, su nombre de host y el contenido de su directorio personal. Sin embargo, con el acceso remoto asegurado al servidor, los atacantes pueden ahora robar manualmente cualquier otra información deseada.

El script bash plantea sus operaciones como procesos a nivel de kernel para evitar su detección, explotando el hecho de que los administradores de sistemas tienden a confiar en estas entradas y a menudo las pasan por alto.

Conclusión

Uptycs aconseja a los usuarios que hayan descargado y ejecutado el falso PoC que borren las claves SSH no autorizadas, eliminen el archivo 'kworker' y su ruta del archivo 'bashrc', y comprueben el archivo '/tmp/.iCE-unix.pid' en busca de amenazas potenciales.

Es crucial que los investigadores sean cautelosos cuando trabajen con PoCs descargados de Internet. Estos PoC deben probarse en entornos aislados y seguros, como máquinas virtuales, y preferiblemente inspeccionar su código antes de ejecutarlos.

Las fuentes de este artículo incluyen un artículo de BleepingComputer.

Resumen

Nombre del artículo

El falso PoC para la vulnerabilidad de Linux contiene malware

Descripción

Ha aparecido un falso exploit PoC dirigido a investigadores de ciberseguridad que instala malware diseñado para robar contraseñas de Linux.

Autor

Rohan Timalsina

Nombre del editor

TuxCare

Logotipo de la editorial