La firma de seguridad Check Point ha alertado de una nueva campaña contra servidores Linux que permite implantar una puerta trasera maliciosa (backdoor) que puede eludir todos los proveedores de seguridad. Se trata de un troyano al que han bautizado como SpeakUp, y que puede aprovechar vulnerabilidades conocidas en 6 versiones distintas de Linux. El ataque está principalmente enfocado a servidores del este de Asia y Latinoamérica, incluyendo también dispositivos alojados en AWS (Amazon Web Services).
Se propaga dentro de la red
Los investigadores han explicado que malware es capaz de propagarse internamente dentro de la sub-red infectada y nuevos rangos de IP. Aprovecha para ello vulnerabilidades de ejecución de código remoto.
SpeakUp va más allá y también puede infectar dispositivos Mac a través de un backdoor sin detectar.
La firma de seguridad señala que aún no saben quién está detrás de esta amenaza, pero han podido establecer correlaciones con otro malware conocido como Zettabit.
En cuanto a los detalles técnicos de su funcionamiento, la investigación apunta a que el vector inicial de infección tiene como objetivo la última vulnerabilidad conocida en ThinkPHP y usa técnicas de inyección de comandos (commandinjection)para cargar un intérprete de comandos PHP con el objetivo de ejecutar una puerta trasera en Perl.
El proceso consta de 3 pasos: aprovechar la vulnerabilidad CV-2018-20062 para cargar el intérprete de comandos PHP, instalar el backdoor y, finalmente, poner en marcha el malware. Además, SpeakUp es capaz de escanear e infectar más servidores Linux que se encuentren tanto en las sub-reds internas como externas, explican fuentes de la investigación, alertando de que, aunque esta amenaza sea relativamente nueva, tiene capacidad para convertirse en algo más grande y potencialmente más dañino
fuente:bitlifemedia.com
- Visto: 1224