Dispositivos Linux bajo ataque del nuevo malware FreakOut - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Dispositivos Linux bajo ataque del nuevo malware FreakOut

Hola otra vez. Yo soy Eduardo Arroyo y en esta ocasión hablaremos sobre Dispositivos Linux bajo ataque del nuevo malware FreakOut

Dispositivos Linux bajo ataque de nuevo malware FreakOut

El malware FreakOut agrega dispositivos Linux infectados a una botnet para lanzar ataques DDoS y criptominería.

Los investigadores advierten que una nueva variante del malware está dirigida a dispositivos Linux para agregar puntos finales a una botnet para su uso en ataques de denegación de servicio distribuido (DDoS) y criptominería.

La variante del malware, llamada FreakOut, tiene una variedad de características. Estos incluyen escaneo de puertos, recopilación de información y rastreo de paquetes de red y datos. Agrega activamente dispositivos Linux infectados a una botnet y tiene la capacidad de lanzar ataques DDoS y de inundación de red, así como actividades de criptominería.

Haga clic para registrarse: se abre una nueva pestaña del navegador

«Si se explota con éxito, cada dispositivo infectado con el malware FreakOut puede ser utilizado como una plataforma de ataque controlada remotamente por los actores de amenazas detrás del ataque, lo que les permite apuntar a otros dispositivos vulnerables para expandir su red de máquinas infectadas». dijeron los investigadores de Check Point Research en un análisis del martes.

FreakOut se dirige principalmente a dispositivos Linux con productos específicos que no han sido parcheados contra varios defectos.

Estos incluyen un falla crítica en la ejecución de comandos remotos (CVE-2020-28188) en TerraMaster TOS (sistema operativo TerraMaster), un proveedor popular de dispositivos de almacenamiento de datos. Las versiones anteriores a 4.2.06 se ven afectadas, mientras que un parche estará disponible en 4.2.07.

Además, el objetivo es un error crítico de deserialización (CVE-2021-3007) en Zend Framework, una colección de paquetes de biblioteca popular que se utiliza para crear aplicaciones web. Esta falla existe en versiones superiores a Zend Framework 3.0.0.

«El mantenedor ya no es compatible con el marco Zend y el proveedor de lamins-http ha publicado un parche relevante para esta vulnerabilidad que debería usar la corrección de errores 2.14.x lanzamiento (parche)«Dijeron los investigadores.

Finalmente, los atacantes están apuntando a una deserialización crítica del problema de los datos que no son de confianza (CVE-2020-7961) en Liferay Portal, un portal empresarial gratuito y de código abierto, con funcionalidad para desarrollar portales web y sitios web. Las versiones anteriores a 7.2.1 CE GA2 se ven afectadas; hay una actualización disponible en Liferay Portal 7.2 CE GA2 (7.2.1) o posterior.

«Los parches están disponibles para todos los productos afectados por estos CVE, y se recomienda a los usuarios de estos productos que revisen con urgencia cualquiera de estos dispositivos que estén usando y actualicen y los apliquen para cerrar estas vulnerabilidades», dijeron los investigadores.

Los investigadores dijeron que después de explotar uno de estos defectos críticos, los atacantes cargan un script de Python ofuscado llamado out.py, descargado de https: // gxbrowser[.]red.

«Una vez que se descarga el script y se obtienen los permisos (usando el comando ‘chmod’), el atacante intenta ejecutarlo usando Python 2», dijeron. «Python 2 llegó al final de su vida útil (EOL) el año pasado, lo que significa que el atacante asume que este producto desactualizado está instalado en el dispositivo de la víctima».

Los principales sectores objetivo del malware Freakout. Crédito: Check Point

Este script tiene varias características, incluida una función de escaneo de puertos, la capacidad de recopilar huellas digitales del sistema (como direcciones de dispositivos e información de memoria), crear y enviar paquetes y capacidad de fuerza bruta utilizando credenciales codificadas para infectar a otros. dispositivos de red.

Según un análisis en profundidad del servidor principal de comando y control (C2) de los atacantes, se estima que hasta ahora se han pirateado 185 dispositivos.

Los investigadores dijeron que entre el 8 y el 13 de enero observaron 380 intentos de ataque (bloqueados) contra clientes. La mayoría de estos intentos se llevaron a cabo en América del Norte y Europa Occidental, siendo las industrias más objetivo las organizaciones financieras, gubernamentales y sanitarias.

Para protegerse contra FreakOut, los investigadores aconsejan a los usuarios de dispositivos Linux que utilizan TerraMaster TOS, Zend Framework o Liferay Portal para asegurarse de que han implementado todos los parches.

«Recomendamos encarecidamente que los usuarios revisen y parcheen sus servidores y dispositivos Linux para evitar que FreakOut explote estas vulnerabilidades», dijeron.

¿Está la cadena de suministro de software de su empresa lista para un ataque? El miércoles 20 de enero a las 2 p.m. ET, comience a identificar los puntos débiles en su cadena de suministro con el asesoramiento práctico de un experto, como parte de un seminario web de participación limitada y LIVE Threatpost. Se invita a CISO, AppDev y SysAdmin a preguntar a un grupo de expertos en ciberseguridad de primer nivel cómo pueden evitar quedar atrapados en un mundo posterior al hack de SolarWinds. La asistencia es limitada: reserve un asiento para este seminario web exclusivo de Threatpost Supply Chain Security, 20 de enero a las 2 p.m.

.

Deberías compartir en en tu Twitter y Facebook para que tus amigos lo sepan

??? ? ? ???

Comparte