Seguridad

La nueva plataforma empuja datos, tubería sucia y túnel DNS contaminan la plomería de Linux

En esta edición de las últimas noticias de la industria del software de código abierto de LinuxInsider:

La observabilidad de primera milla es una prioridad clave para las operaciones empresariales que invierten mucho en el análisis de datos. Se refiere a recopilar y analizar datos en su origen. Dos proyectos clave de código abierto ya ayudan a mantener los problemas de observabilidad de los datos. Una innovación hace que esos proyectos sean más valiosos.

¿Has limpiado tus pipelines de Linux últimamente? Asegúrese de no quedarse atrapado en una situación de tubería sucia.

Los errores humanos son uno de los principales culpables de las fallas exitosas de ciberseguridad. Eche un vistazo a la oportunidad de recibir capacitación cibernética gratuita este mes y aprenda sobre un nuevo respaldo de Linux que se apoya en Log4j nuevamente.

Además, no te pierdas el último lanzamiento de Wind River. Podría poner más viento en sus velas de Linux.

La nueva financiación moderniza la observabilidad empresarial

El desarrollador de plataformas de observación de primera milla, Calyptia, cerró a principios de este mes una ronda de financiación inicial de $ 5 millones liderada por Sierra Ventures y Carbide Ventures.

Publicaciones relacionadas

La inversión impulsará la búsqueda de la empresa para gestionar los datos de observabilidad a escala con una visión inmediata del rendimiento de los sistemas de los usuarios. El esfuerzo se basa en los avances de los proyectos de código abierto Fluent Bit y Fluentd.

Los métodos existentes requieren que los datos se enruten por completo al almacenamiento back-end de última milla antes de que se produzcan el análisis y la generación de informes centralizados. Eso falla a los clientes empresariales que trabajan con TI distribuida, IoT y aplicaciones perimetrales en todos los entornos de nube. La solución de Calyptia bien podría cambiar eso.

Trae la solución insignia de la empresa, Calyptia Enterprise para Fluent Bit, y sus amplios conjuntos de herramientas para desarrolladores para simplificar la adopción empresarial. La plataforma se integra a la perfección con los backends de observabilidad existentes para mejorar el análisis del sistema y reducir los costos.

“Calyptia resuelve un problema realmente difícil: cómo obtener inteligencia de forma rápida y eficiente de los datos de registro y eventos a escala en la empresa. Trae al mercado una solución que se ha necesitado durante bastante tiempo”, dijo Tim Guleri, socio gerente de Sierra Ventures.

El valor que esta solución puede aportar a las empresas no tiene precedentes. Las empresas pueden obtener información inmediata sobre sus sistemas para permitir la resolución de problemas en tiempo real y la optimización del rendimiento. Dada la rápida adopción de TI distribuida basada en la nube, esta solución se convertirá rápidamente en un requisito empresarial central, explicó.

Fluent Bit y Fluentd son las soluciones más utilizadas para la recopilación de datos de eventos. Son recopiladores de métricas y registros rápidos, livianos y altamente escalables implementados más de mil millones de veces integrados en Kubernetes y Red Hat OpenShift.

“Lo que hemos hecho con Calyptia Enterprise es tomar la herramienta de código abierto más poderosa para la observación de primera milla y hacerla completamente accesible para la empresa”, dijo Anurag Gupta, cofundador de Calyptia.

Limpieza de tuberías, una solución para el malware de Linux

Dirty Pipe, una vulnerabilidad recientemente revelada en el kernel de Linux desde la versión 5.8, permite sobrescribir datos en archivos arbitrarios de solo lectura. Esto conduce a una escalada de privilegios porque los procesos sin privilegios pueden inyectar código en los procesos raíz.

Este último descubrimiento de vulnerabilidad es similar a Dirty Cow CVE-2016-5195 pero es más fácil de explotar. Dichos errores del sistema operativo y vulnerabilidades a nivel de aplicación que no se limitan a Linux pueden permitir que los atacantes eleven los privilegios, se muevan lateralmente dentro de la red, ejecuten código arbitrario y se apoderen por completo de los dispositivos.

Los contenedores ofrecen un mayor grado de seguridad. Pero incidentes recientes han demostrado que los contenedores se explotan a menudo a través de tales vulnerabilidades, según Shweta Khare, evangelista de ciberseguridad en Delinea.

“En la mayoría de las organizaciones, los microservicios y los contenedores aún no están cubiertos por el plan de seguridad empresarial. Para minimizar la exposición al riesgo de los ataques cibernéticos, la gestión de privilegios es esencial para los beneficios continuos del control de acceso granular y la seguridad constante en los centros de datos y las instancias virtuales, contenedores y microservicios basados ​​en la nube”, dijo.

Cualquier exploit que dé acceso a nivel raíz a un sistema Linux es problemático. Un atacante que obtiene la raíz obtiene el control total sobre el sistema de destino y puede aprovechar ese control para llegar a otros sistemas. El factor atenuante de esta vulnerabilidad es que requiere acceso local, lo que reduce ligeramente el riesgo, agregó Mike Parkin, ingeniero técnico senior de Vulcan Cyber.

“Escalar los privilegios a root (familia POSIX) o Admin (Windows) es a menudo la primera prioridad de un atacante cuando obtiene acceso a un sistema, ya que les da control total del objetivo y puede ayudarlos a extender su punto de apoyo a otras víctimas. Eso no ha cambiado en mucho tiempo y es poco probable que cambie en el futuro previsible”, agregó.

Obtenga capacitación gratuita para prepararse para los ataques cibernéticos

Un estudio reciente de Global Market Estimates calculó que el error humano causa el 85 % de todas las infracciones de seguridad cibernética. También descubrió que solo el 25 por ciento de las organizaciones brindan programas de capacitación de concientización sobre seguridad cibernética a los empleados.

Esas son estadísticas alarmantes, ya que la capacitación en concientización reduce los riesgos de seguridad cibernética de las organizaciones en un 70 por ciento, lo que garantiza que los empleados respondan correctamente a las amenazas entrantes. Una falta general de conocimiento sobre las mejores prácticas de ciberseguridad, como reutilizar contraseñas, dejar los dispositivos móviles abiertos, acceder a redes inalámbricas desconocidas y caer en enlaces falsos, crea vectores de amenazas explotables.

La firma de capacitación en seguridad AwareGO ofrece este mes un curso gratuito de capacitación en ciberseguridad de 30 minutos para hasta 500 empleados. Esta capacitación rápida e intensiva sobre seguridad cibernética está diseñada para ayudar rápidamente a las organizaciones y sus empleados a identificar y prevenir posibles ataques cibernéticos.

El programa contiene 14 videos de microaprendizaje de un minuto, relevantes y cuidadosamente seleccionados, así como materiales de lectura complementarios que se enfocan en los métodos más comunes que los piratas informáticos usan para engañar a las personas y obtener acceso. Una vez registradas, las organizaciones recibirán acceso inmediato a los módulos de capacitación cuidadosamente seleccionados de AwareGO y podrán implementar el programa de capacitación en cuestión de minutos.

El mundo problemático de hoy justifica las preocupaciones sobre el aumento de los ataques cibernéticos con el objetivo de causar interrupciones, adquirir fondos y robar datos valiosos, señaló Ari Jonsson, director ejecutivo de AwareGO.

“Tener medidas técnicas implementadas, como firewalls y encriptación, es bueno, pero simplemente no es suficiente, ya que el 85 por ciento de todos los robos cibernéticos exitosos se realizan engañando a las personas en lugar de a las máquinas. El componente verdaderamente crítico en la caja de herramientas de seguridad cibernética de cualquier organización son los empleados actualizados y conscientes”, dijo.

Wind River Studio asegura los desafíos basados ​​en Linux

La última versión de Wind River Studio Linux Services lanzada el 16 de marzo se enfoca en la seguridad, los defectos, el cumplimiento y la gestión continua de Linux de sistemas inteligentes de misión crítica para software de código abierto basado en la comunidad.

A medida que evolucionan las demandas del mercado, el desarrollo de soluciones integradas de Linux innovadoras, estables y desplegables se vuelve más urgente. La creciente complejidad del sistema trae nuevos desafíos en torno a la seguridad, el cumplimiento, la defensa contra defectos y el mantenimiento continuo de estas nuevas plataformas.

Encontrar y reparar defectos de seguridad puede costar 100 veces más en los sistemas implementados que durante la fase de desarrollo. Esta es una carga pesada para que un equipo de desarrollo la maneje mientras intenta innovar y cumplir con plazos ajustados, según Wind River.

Los sistemas integrados de misión crítica tienen los requisitos más exigentes con la vida útil más larga. Los equipos deben planificar su construcción, gestión y mantenimiento durante décadas. Esto es especialmente desafiante en un futuro de sistemas inteligentes que exige una mayor vigilancia en torno a la seguridad y el cumplimiento, señaló Amit Ronen, vicepresidente senior de éxito del cliente en Wind River.

“Al ayudar a los desarrolladores a construir e implementar dispositivos y sistemas inteligentes sólidos, confiables y seguros basados ​​en Linux, Studio Linux Services puede eliminar la carga de monitorear y mantener plataformas para que los desarrolladores puedan enfocarse en desarrollar sistemas innovadores y diferenciados de borde inteligente que maximicen el retorno de la inversión. inversión”, dijo.

Los nuevos servicios de Studio Linux incluyen:

  • Escaneo de seguridad y cumplimiento: escaneo de nivel profesional de plataformas Linux para CVE y problemas de licencia;
  • Análisis y remediación de seguridad y cumplimiento: análisis profundo de CVE y problemas de cumplimiento de licencias en plataformas existentes que pueden afectar directamente el software de código abierto de un proyecto; remediación de CVE críticos, así como una recomendación de remediación de cumplimiento de licencia;
  • Seguridad del ciclo de vida: monitoreo, mitigación y administración continuos de CVE a través del ciclo de vida de desarrollo e implementación de software;
  • Garantía de rendimiento del ciclo de vida: un servicio completo de gestión del ciclo de vida para plataformas Linux y paquetes de soporte de placa; brinda soluciones técnicas y soporte para ayudar a mantener el software actualizado, seguro y estable durante la vida útil del dispositivo;
  • Arquitectura e implementación: evaluación exhaustiva de la arquitectura de las necesidades de hardware y software para el ciclo de vida completo del proyecto, incluida la interpretación de los requisitos del sistema, la arquitectura de las opciones del sistema de la plataforma y las recomendaciones para cumplir los objetivos comerciales, técnicos y del programa; también evaluaciones continuas de soluciones técnicas para requisitos emergentes a medida que avanza el proyecto.

El nuevo backdoor de Linux utiliza el túnel DNS para causar estragos

Los investigadores de 360Netlab el 15 de marzo encontraron una nueva puerta trasera para permitir que los intrusos se apoderaran de las redes informáticas utilizando la vulnerabilidad Log4J.

El sistema honeypot de Netlab capturó un archivo de formato ejecutable y enlazable (ELF) desconocido que se propagaba a través de la vulnerabilidad Log4J. El tráfico de red generado por esta muestra activó una alerta de túnel DNS en el sistema de la empresa, informaron Alex Turing y Hui Wang en el blog de la empresa.

Encontraron y nombraron una nueva familia de botnet, B1txor20, en función de su propagación utilizando el nombre de archivo b1t, el algoritmo de cifrado XOR y la longitud de clave del algoritmo RC4 de 20 bytes.

La puerta trasera de la plataforma Linux utiliza tecnología de túnel DNS para crear canales de comunicación C2. Además de las funciones de puerta trasera tradicionales, B1txor20 también puede abrir el proxy Socket5 y descargar e instalar un rootkit de forma remota.

Aprovechar la vulnerabilidad Log4J y el túnel DNS para la comunicación es interesante, pero no inesperado, señaló Mike Parkin, ingeniero técnico senior de Vulcan Cyber. Los autores de malware son conocidos por desarrollar rápidamente nuevas cepas para aprovechar las vulnerabilidades recientes y combinar diferentes técnicas para tratar de evitar la detección.

“Afortunadamente, la tunelización de DNS es relativamente fácil de detectar, y existen múltiples herramientas que pueden interrumpir el uso de DNS por parte de un atacante para comando y control. Es fácil implementar estas herramientas en un entorno de nube, así como en las instalaciones, y se debe considerar alguna forma de protección de DNS como una mejor práctica.

“Si bien eso no detendría la infección inicial, efectivamente contendría la brecha ya que el atacante no podrá controlar el sistema de la víctima”, dijo a LinuxInsider.

Esta nueva botnet refuerza la necesidad de parchear la vulnerabilidad Log4J y asegurarse de que la organización tenga las herramientas y capacidades para administrar este tipo de riesgo en su entorno, agregó.

B1txor20 parece estar diseñado para apuntar a instancias vulnerables de Log4J dentro de los centros de datos de Linux que de otro modo se han fortalecido, sugirió Casey Ellis, fundador y CTO de Bugcrowd.

“Limitar las conexiones salientes es una de las mitigaciones clave para Log4Shell, pero la tunelización de DNS es una forma bastante confiable de eludir este tipo de control donde existe, y el actualizador SOCKS5 también puede lograr este objetivo. Además de encontrar y parchear Log4J siempre que sea posible, monitorear y restringir las solicitudes de DNS salientes es la única defensa práctica para esto”, dijo a LinuxInsider.

LEER  Foundries y Arduino Team para parchear dispositivos IoT

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba