ClickCease Uptycs advierte de un falso repositorio de pruebas de concepto en GitHub

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Uptycs advierte de un falso repositorio de pruebas de concepto en GitHub

26 de julio de 2023 - Equipo de RRPP de TuxCare

Uptycs ha descubierto en GitHub un falso repositorio de pruebas de concepto (PoC) que se hace pasar por un PoC legítimo para CVE-2023-35829, un fallo de alta gravedad recientemente revelado en el kernel de Linux. Sin embargo, el PoC es en realidad una puerta trasera que puede robar datos confidenciales de hosts comprometidos y permitir a los actores de amenazas obtener acceso remoto.

Uptycs descubrió que el repositorio engañoso se hacía pasar por un PoC para CVE-2023-35829, un fallo de alta gravedad en el kernel de Linux. Tras una inspección más detallada, los investigadores observaron actividades sospechosas, como conexiones de red inesperadas, transferencias de datos inusuales e intentos de acceso no autorizado al sistema. Profundizando más, descubrieron que el PoC era una copia de un exploit legítimo más antiguo para otra vulnerabilidad del kernel de Linux, CVE-2022-34918. El único añadido era un archivo llamado "src/aclocal.m4", que funcionaba como descargador de un script bash de Linux, facilitando la persistencia del malware.

El backdoor malicioso, camuflado como un PoC legítimo, permitía a los actores de la amenaza obtener acceso remoto añadiendo su clave SSH al archivo ".ssh/authorized_keys". Esta capacidad permitía la filtración de una amplia gama de datos, desde nombres de host y nombres de usuario hasta listas exhaustivas del contenido de los directorios personales. El grado de compromiso potencial de los datos era alto para los que ejecutaron el PoC falso.

El backdoor puede robar una amplia gama de datos sensibles, incluyendo el nombre de host, nombre de usuario, contenido del directorio home y claves SSH. También se puede utilizar para obtener acceso remoto al host comprometido añadiendo la clave SSH del atacante al archivo "authorized_keys".

Uptycs identificó otro perfil de GitHub, ChriSanders22, que hacía circular un PoC falso para VMware Fusion CVE-2023-20871. Sorprendentemente, tenía el mismo archivo aclocal.m4 que activaba la instalación del backdoor oculto. En otro perfil de GitHub se encontró otro PoC falso para CVE-2023-35829.

El descubrimiento se produce tras un incidente anterior en el que VulnCheck detectó cuentas falsas de GitHub que se hacían pasar por investigadores de seguridad para distribuir malware bajo la apariencia de exploits PoC para software muy utilizado.

Las fuentes de este artículo incluyen un artículo en TheHackerNews.

Resumen
Uptycs advierte de un falso repositorio de pruebas de concepto en GitHub
Nombre del artículo
Uptycs advierte de un falso repositorio de pruebas de concepto en GitHub
Descripción
Uptycs ha descubierto en GitHub un falso repositorio de pruebas de concepto (PoC) que se hace pasar por un PoC legítimo para CVE-2023-35829.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín