Seguridad

Versiones obsoletas de Linux, configuraciones incorrectas que desencadenan ataques en la nube: informe

El «Informe de amenazas de Linux 2021 1H» de Trend Micro descubrió que los sistemas operativos en la nube de Linux son un objetivo importante para los ataques cibernéticos, con casi 13 millones de detecciones en la primera mitad de este año. A medida que las organizaciones amplían su presencia en la nube, se exponen a las amenazas generalizadas que existen en el entorno de Linux.

Este último informe de amenazas, publicado el 23 de agosto, brinda una mirada detallada al panorama de amenazas de Linux. Analiza varios problemas de seguridad apremiantes que afectan la ejecución de Linux en la nube.

Los hallazgos clave incluyen que Linux es poderoso, universal y confiable, pero no exento de fallas, según los investigadores. Sin embargo, al igual que otros sistemas operativos, Linux sigue siendo susceptible a los ataques.

Linux en la nube potencia la mayoría de las infraestructuras, y los usuarios de Linux constituyen la mayoría de la base de clientes empresariales de Trend Micro Cloud One con un 61 %, en comparación con un 39 % de usuarios de Windows.

Los datos provienen de Trend Micro Smart Protection Network (SPN) o del depósito de datos para todas las detecciones en todos los productos de Trend Micro. Los resultados muestran que Linux empresarial corre un riesgo considerable debido a errores de configuración del sistema y distribuciones de Linux obsoletas.

Por ejemplo, los datos del motor de escaneo de Internet Censys.io revelaron que casi 14 millones de resultados para dispositivos expuestos que ejecutan cualquier tipo de sistema operativo Linux el 6 de julio de 2021. Una búsqueda del puerto 22 en Shodan, un puerto comúnmente utilizado para el protocolo Secure Shell ( SSH) para máquinas basadas en Linux, mostró casi 19 millones de dispositivos expuestos detectados al 27 de julio de 2021.

Como cualquier sistema operativo, la seguridad depende completamente de cómo use, configure o administre el sistema operativo. Cada nueva actualización de Linux intenta mejorar la seguridad. Sin embargo, para obtener el valor, debe habilitarlo y configurarlo correctamente, advirtió Joseph Carson, científico jefe de seguridad y CISO asesor de Thycotic.

“El estado actual de la seguridad de Linux es bastante bueno y ha evolucionado de manera positiva, con muchas más características de visibilidad y seguridad integradas. Sin embargo, como muchos sistemas operativos, debe instalarlo, configurarlo y administrarlo teniendo en cuenta la seguridad, ya que la forma en que los ciberdelincuentes se aprovechan es el toque humano”, dijo a LinuxInsider.

Principales amenazas de Linux

El Trend Micro Report reveló familias de malware desenfrenadas dentro de los sistemas Linux. A diferencia de informes anteriores basados ​​en tipos de malware, este estudio se centró en la prevalencia de Linux como sistema operativo y la omnipresencia de las diversas amenazas y vulnerabilidades que acechan al sistema operativo.

Ese enfoque mostró que las tres principales detecciones de amenazas se originaron en los EE. UU. (casi el 40 por ciento), Tailandia (19 por ciento) y Singapur (14 por ciento).

Las detecciones surgieron de sistemas que ejecutan versiones al final de su vida útil de distribuciones de Linux. Las cuatro distribuciones caducadas eran de las versiones 7.4 a 7.9 de CentOS (casi el 44 por ciento), CloudLinux Server (más del 40 por ciento) y Ubuntu (alrededor del 7 por ciento).

Trend Micro rastreó más de 13 millones de eventos de malware marcados por sus sensores. Luego, los investigadores cultivaron una lista de los tipos de amenazas destacados consolidados de las 10 principales familias de malware que afectaron a los servidores Linux desde el 1 de enero hasta el 30 de junio de 2021.

Los principales tipos de amenazas encontrados en los sistemas Linux en la primera mitad de 2021 son:

  • Coinminers (24,56 por ciento)
  • Concha web (19,92 por ciento)
  • Ransomware (11,56 por ciento)
  • Troyanos (9,56 por ciento)
  • Otros (3,15 por ciento)

Las cuatro principales distribuciones de Linux donde se encontraron los principales tipos de amenazas en los sistemas Linux en el primer semestre de 2021 son:

  • CentOS Linux (50,80 por ciento)
  • Servidor CloudLinux (31,24 por ciento)
  • Servidor Ubuntu (9,56 por ciento)
  • Servidor Red Hat Enterprise Linux (2,73 por ciento)

Las principales familias de malware incluyen:

  • Coinminers (25 por ciento)
  • Conchas web (20 por ciento)
  • Ransomware (12 por ciento)

CentOS Linux y CloudLinux Server son las principales distribuciones de Linux con los tipos de amenazas encontrados, mientras que los ataques a aplicaciones web resultan ser el vector de ataque más común.

Objetivos principales de aplicaciones web

La mayoría de las aplicaciones y cargas de trabajo expuestas a Internet ejecutan aplicaciones web. Los ataques a aplicaciones web se encuentran entre los vectores de ataque más comunes en la telemetría de Trend Micro, dijeron los investigadores.

Si se inician con éxito, los ataques de aplicaciones web permiten a los piratas informáticos ejecutar scripts arbitrarios y comprometer secretos. Los ataques a aplicaciones web también pueden modificar, extraer o destruir datos. La investigación muestra que el 76 por ciento de los ataques están basados ​​en la web.

La pila LAMP (Linux, Apache, MySQL, PHP) hizo que la creación de aplicaciones web fuera fácil y económica. De una manera muy real, democratizó Internet para que cualquiera pueda configurar una aplicación web, según John Bambenek, asesor de inteligencia de amenazas de Netenrich.

“El problema con eso es que cualquiera puede configurar una aplicación web. Mientras todavía estamos esperando el año de Linux en el escritorio, es importante que las organizaciones utilicen las mejores prácticas para su presencia en la web. Por lo general, esto significa estar al tanto de los parches/actualizaciones de CMS y el escaneo de rutina incluso con herramientas de código abierto (como Zed Attack Proxy) para encontrar y remediar las vulnerabilidades de inyección SQL”, dijo a LinuxInsider.

El informe hizo referencia a los 10 principales riesgos de seguridad del Open Web Application Security Project (OWASP), que enumera las fallas de inyección y los ataques de secuencias de comandos cruzadas (XSS) que siguen siendo tan altos como siempre. Lo que llama la atención de los investigadores de Trend Micro es la gran cantidad de vulnerabilidades de deserialización inseguras.

Esto se debe en parte a la ubicuidad de Java y las vulnerabilidades de deserialización que contiene, según Trend Micro. Su informe también señaló que las vulnerabilidades de deserialización de Liferay Portal, Ruby on Rails y Red Hat JBoss son prominentes.

Los atacantes también intentan utilizar vulnerabilidades en las que la autenticación no funciona para obtener acceso no autorizado a los sistemas. Además, el número de aciertos de inyección de comandos también supone una sorpresa, ya que son más altos de lo que esperaban los analistas de Trend Micro.

Tendencia esperada

No sorprende que la mayoría de estos ataques estén basados ​​en la web. Cada sitio web es diferente, escrito por diferentes desarrolladores con diferentes conjuntos de habilidades, observó Shawn Smith, director de infraestructura de nVisium.

“Existe una amplia gama de marcos diferentes en una multitud de lenguajes con varios componentes que tienen sus propias ventajas y desventajas. Combina esto con el hecho de que no todos los desarrolladores son gurús de la seguridad y tienes un objetivo increíblemente atractivo”, dijo a LinuxInsider.

Los servidores web son uno de los servicios más comunes que se exponen a Internet porque la mayor parte del mundo interactúa con Internet a través de sitios web. Hay otras áreas expuestas, como servidores FTP o IRC, pero la gran mayoría del mundo utiliza sitios web como su principal punto de contacto con Internet.

“Como resultado, aquí es donde los atacantes se concentrarán para obtener el mayor retorno de la inversión por el tiempo que dedican”, dijo Smith.

OSS vinculado a ataques a la cadena de suministro

Las cadenas de suministro de software también deben estar protegidas para hacer frente al panorama de ataques de Linux, señaló el informe de Trend Micro. Los atacantes pueden insertar código malicioso para comprometer los componentes de software de proveedores externos. Luego, ese código se conecta a un servidor de comando y control para descargar e implementar puertas traseras y otras cargas útiles maliciosas dentro del sistema, lo que genera un código remoto.

Esto puede conducir a la ejecución remota de código en el sistema y los recursos informáticos de una empresa. Los ataques a la cadena de suministro también pueden provenir de configuraciones incorrectas, que son el segundo tipo de incidente más importante en entornos nativos de la nube, según el informe de Trend Micro. Más del 56 por ciento de los encuestados tuvieron una configuración incorrecta o un incidente de vulnerabilidad sin parche conocido que involucró a sus aplicaciones nativas de la nube.

Los piratas informáticos lo están pasando bien. “Los principales tipos de ataques a las aplicaciones basadas en web se han mantenido constantes en el pasado reciente. Eso, combinado con el aumento del tiempo de reparación y la disminución de las tasas de remediación, facilita el trabajo de los piratas informáticos”, dijo Setu Kulkarni, vicepresidente de estrategia de NTT Application Security.

Las organizaciones necesitan probar las aplicaciones en producción, averiguando cuáles son sus principales tres a cinco tipos de vulnerabilidad. Luego, lance una campaña específica para abordarlos, enjuague y repita, recomendó.

El «Informe de amenazas de Linux 2021 1H» está disponible aquí.

LEER  La IA potencialmente maliciosa está al frente y al centro en un nuevo informe

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba