Linux impulsa muchas infraestructuras de nube en la actualidad. Sin embargo, no es inmune a las amenazas y los riesgos. Discutimos varios problemas de seguridad urgentes, incluido el malware y las vulnerabilidades que comprometen los sistemas Linux en la primera mitad de 2021. Recomendamos el video Cómo instalar Kali Linux paso a paso.
Muchos consideran a Linux como un sistema operativo único debido a su estabilidad, flexibilidad y naturaleza de código abierto. Su reputación estelar está respaldada por sus muchos logros notables en los últimos años. Por ejemplo, el 100% de las 500 supercomputadoras más importantes del mundo funcionan con Linux y el 50,5% de los 1.000 sitios web más importantes del mundo lo utilizan, según una encuesta de W3Techs. Nuestro artículo anterior compartió cómo Linux domina la nube, ejecutándose en el 90% de las cargas de trabajo de la nube pública en 2017. Linux también es compatible de manera única para cargas de trabajo en la nube de alto precio / rendimiento utilizando procesadores Advanced RISC Machines (ARM), como AWS Graviton . Y además de ejecutarse en el 96,3% del millón de servidores web principalesa nivel mundial, Linux también impulsa relojes inteligentes, trenes de alta velocidad e incluso los principales programas espaciales del mundo.
Linux es poderoso, universal y confiable, pero no está exento de fallas; al igual que otros sistemas operativos, sigue siendo susceptible a ataques. Este artículo analiza el estado de la seguridad de Linux en la primera mitad de 2021 y proporciona una mirada en profundidad al panorama de amenazas de Linux. Discutimos varios problemas de seguridad urgentes que afectan a Linux, que incluyen los tipos de malware que existen en el mundo de Linux, las vulnerabilidades que afectan al sistema operativo Linux y las diversas pilas de software que se ejecutan en él. Este artículo también cubrirá los riesgos de seguridad de las aplicaciones web y cómo los atacantes abusan de ellos para comprometer los sistemas Linux que se ejecutan en la nube.
Los datos presentados en este artículo provienen de Trend Micro TM Smart Protection Network ™ (SPN), o el lago de datos para todas las detecciones en todos los productos de Trend Micro. Además, también recopilamos datos de honeypots, sensores, telemetría anónima y otros servicios de backend. Estos datos representan la prevalencia en el mundo real del malware y la explotación de vulnerabilidades en las empresas, desde pequeñas organizaciones hasta grandes corporaciones en varias verticales.
La ubicuidad de Linux
Antes de profundizar en las amenazas específicas que afectan a los sistemas Linux, primero nos gustaría compartir la prevalencia de los distintos sabores o distribuciones de Linux y Unix de toda nuestra base de clientes empresariales. Después de todo, Linux es innegablemente ubicuo, especialmente en la nube, donde alimenta la mayoría de las infraestructuras. Los usuarios de Linux comprenden la mayoría de la base de clientes empresariales de Trend Micro Cloud One ™ con un 61%, mientras que los usuarios de Windows tienen un 39%.
Entre las implementaciones basadas en Linux / Unix, Red Hat ocupa una gran parte de los usuarios empresariales, seguido de AWS Linux y Ubuntu. Las empresas dependen de fuentes bien mantenidas de implementaciones de Linux para sus cargas de trabajo, y este gráfico refleja el soporte brindado por los proveedores. Por ejemplo, Red Hat Enterprise Linux (RHEL) y Amazon Linux AMI suelen ser los primeros en ofrecer parches a sus versiones compatibles. Si bien esta distribución de datos no debería sorprender a la mayoría de los lectores, vale la pena señalar que aproximadamente el 2.6% de estos son IBM AIX y Oracle Solaris. AIX y Oracle Solaris son conocidos por su estabilidad y solidez; las empresas ejecutan cargas de trabajo críticas en estas plataformas.
Sistemas Linux expuestos
Debido a que Linux tiene una gran huella, es probable que un porcentaje de sus administradores exponga sin saberlo los sistemas Linux y, en última instancia, los datos críticos. Los datos de Censys.io , un motor de búsqueda para dispositivos de Internet, muestran casi 14 millones de resultados al buscar dispositivos expuestos conectados a Internet y ejecutar cualquier tipo de sistema operativo Linux el 6 de julio de 2021:
Un vistazo al puerto 22 en Shell, un puerto comúnmente utilizado para Secure Shell Protocol (SSH) para máquinas basadas en Linux, reveló resultados aún más destacados: casi 19 millones de dispositivos conectados a Internet tienen este puerto expuesto:
Es imperativo que las organizaciones no dejen dichos puertos expuestos para evitar que los atacantes se establezcan en los sistemas Linux. En el pasado, hemos observado a atacantes abusando de estos puertos para lanzar actividades maliciosas; El año pasado, publicamos un artículo que describía cómo los atacantes usaban botnets para realizar ataques de fuerza bruta después de buscar puertos SSH y Telnet abiertos.
on el objetivo de difundir el conocimiento sobre las amenazas de malware basadas en Linux, utilizamos los datos de Trend Micro SPN para mostrar cuán desenfrenadas son las familias de malware en los sistemas Linux. Debido a que estábamos viendo millones de detecciones, decidimos examinar los datos a través de diferentes lentes. En un artículo que publicamos a principios de este año, clasificamos los datos en función de varios tipos de malware: ransomware, mineros de criptomonedas, rootkits, scripts maliciosos y shells web.
En esta ocasión, presentamos datos de SPN que muestran la prevalencia de Linux como sistema operativo y la omnipresencia de las diversas amenazas y vulnerabilidades de la plataforma. Casi el 40% de las detecciones provino de EE. UU., Seguido de Tailandia y Singapur con 19% y 14%, respectivamente. También es importante tener en cuenta que las detecciones surgieron de sistemas que ejecutan versiones al final de su vida útil de distribuciones de Linux. La mayoría (casi el 44%) de las detecciones fueron de las versiones de CentOS 7.4 a 7.9, seguidas por CloudLinux Server, que tuvo más del 40% de las detecciones, y Ubuntu con casi el 7%.
Malware para Linux: amenazas en cifras
De más de 13 millones de eventos que identificamos y marcamos desde nuestros sensores, identificamos las 10 principales familias de malware que luego consolidamos por sus tipos de amenazas. La Tabla 1 enumera los principales tipos de amenazas que afectan a los servidores Linux desde el 1 de enero de 2021 hasta el 30 de junio de 2021, según los datos de Trend Micro TM Deep Security TM y Trend Micro Cloud One TM - Workload Security . Tenga en cuenta que algunas familias de malware basadas en Windows figuran en la lista, lo que significa que los servidores Linux actúan como un servidor de almacenamiento o de comando y control (C&C) para el malware de Windows.
Una observación interesante aquí es la alta prevalencia de coinminers, de los cuales Coinminer.Linux.MALXMR.SMDSL64 y Coinminer.Linux.MALXMR.PUWELQ son las familias más prevalentes; y web shells, de las cuales las familias más detectadas son Backdoor.PHP.WEBSHELL.SBJKRW, Backdoor.PHP.WEBSHELL.SMMR y Backdoor.PHP.WEBSHELL.SMIC. Dado que la nube tiene una cantidad aparentemente infinita de potencia informática, los piratas informáticos tienen un motivo claro para robar recursos informáticos para ejecutar sus actividades de minería de criptomonedas. También es importante tener en cuenta que los mineros de criptomonedas han plagado los entornos de contenedores en los últimos años. También vimos el ransomware como una amenaza prevalente de Linux, y DoppelPaymer , una familia moderna de ransomware que utilizabatácticas de doble extorsión , es la familia de ransomware más prevalente según nuestros datos. En nuestro seguimiento del panorama del ransomware, también hemos visto recientemente otras variantes de ransomware que estaban dirigidas a sistemas Linux como RansomExx , DarkRadiation e incluso DarkSide.
Nuestros datos de SPN muestran las cuatro principales distribuciones de Linux en las que encontramos las principales familias de malware mencionadas anteriormente:
Vulnerabilidades en sistemas Linux
Nuestro artículo anterior discutió varias vulnerabilidades que afectan la plataforma Linux y la pila de software y las aplicaciones que se ejecutan en ella. Para definir aún más el estado de la seguridad de Linux para la primera mitad de 2021, analizamos los resultados de IPS (Intrusion Prevention System) de Trend Micro Cloud One - Workload Security y examinamos más de 50 millones de eventos, ignoramos los falsos positivos, eliminamos los datos de prueba y clasificamos en capas datos con inteligencia de amenazas disponible para sacar algunas conclusiones. Cabe señalar que aquí puede haber cierto grado de error debido a la naturaleza de los datos y la actividad de Internet.
Estos más de 50 millones de eventos que analizamos representan:
Más de 100.000 hosts únicos de Linux informaron los eventos. Los 20 principales tipos de Linux y Unix que informaron eventos en este conjunto de datos por volumen.
Aquí, analizamos los factores desencadenantes de las vulnerabilidades que se sabe que se explotan activamente o que tienen una prueba de concepto conocida. Según los datos de Trend Micro Cloud One, la siguiente lista presenta las 15 principales vulnerabilidades y exposiciones comunes (CVE) que se están explotando activamente en la naturaleza o que tienen pruebas de concepto existentes. Cabe señalar que Trend Micro Cloud One proporciona protección contra las 15 principales vulnerabilidades que se enumeran a continuación a través de sus funciones de parcheo virtual, protección de vulnerabilidades y bloqueo de exploits.
Principales vulnerabilidades con exploits conocidos o pruebas de concepto | CVE | Gravedad |
Vulnerabilidad de ejecución remota de código (RCE) de Apache Struts2 | CVE-2017-5638 | Crítico |
Vulnerabilidad de Apache Struts 2 REST plugin XStream RCE | CVE-2017-9805 | Elevado |
Vulnerabilidad de Drupal Core RCE | CVE-2018-7600 | Crítico |
Vulnerabilidades de RCE del servidor Oracle WebLogic | CVE-2020-14750 | Crítico |
Vulnerabilidad RCE del complemento del administrador de archivos de WordPress | CVE-2020-25213 | Crítico |
Vulnerabilidad de RCE no autenticada vBulletin 'subwidgetConfig' | CVE-2020-17496 | Crítico |
Vulnerabilidad de debilidad de autorización de sal de SaltStack | CVE-2020-11651 | Crítico |
Vulnerabilidad de RCE de expresión OGNL de Apache Struts | CVE-2017-12611 | Crítico |
Eclipse Jetty fragmento de longitud al analizar la vulnerabilidad de desbordamiento de enteros | CVE-2017-7657 | Crítico |
Vulnerabilidad de omisión de autenticación de Alibaba Nacos AuthFilter | CVE-2021-29441 | Crítico |
Vulnerabilidad de divulgación de información de Atlassian Jira | CVE-2020-14179 | Medio |
Nginx diseñó una cadena de URI que maneja la vulnerabilidad de omisión de restricción de acceso | CVE-2013-4547 | N / A |
Vulnerabilidad de Apache Struts 2 RCE | CVE-2019-0230 | Crítico |
Vulnerabilidad de RCE de expresión OGNL de Apache Struts | CVE-2018-11776 | Elevado |
Vulnerabilidad de deserialización no confiable del portal Liferay | CVE-2020-7961 | Crítico |
Tabla 1. Las 15 principales vulnerabilidades con exploits conocidos o pruebas de concepto
La Tabla 1 muestra las principales vulnerabilidades por volumen de factores desencadenantes. En total, vemos alrededor de 200 vulnerabilidades diferentes activadas en todos los ámbitos. Un punto digno de mención aquí es que, aunque se estima que se informaron 20.000 vulnerabilidades solo en 2020, muchas de las cuales afectan a Linux o la pila de aplicaciones de Linux, solo 200 de esas vulnerabilidades tienen exploits de conocimiento público y se observaron. Esforzarse por priorizar el parcheo de estas vulnerabilidades debe ser un enfoque integrado en las prácticas de seguridad de cualquier organización. Trend Micro utiliza un enfoque que se centra en las vulnerabilidades armadas para garantizar que los que tienen más probabilidades de ser explotados se protejan primero.