Sicurezza InformaticaCybercrimeMalware

Falso PoC rilascia una backdoor sfruttando un bug Linux

di Salvatore Lombardo
scritto da Salvatore Lombardo 0 commenti 2 minuti di lettura

Un PoC (Proof of Concept) invece di dimostrare una vulnerabilità, nasconderebbe una backdoor. Questo è quello che sarebbe stato scoperto dal team di ricerca di Uptycs, e che avrebbe un impatto particolare sulla comunità di ricerca sulla sicurezza.

https://www.bleepingcomputer.com/news/security/fake-linux-vulnerability-exploit-drops-data-stealing-malware/

Di cosa si tratta

“I ricercatori di sicurezza si affidano ai PoC per comprendere le potenziali vulnerabilità tramite test innocui. In questo caso, il PoC è un lupo travestito da agnello, che nutre intenti dannosi sotto le spoglie di un innocuo strumento di apprendimento.”, si legge nel rapporto.

Il falso PoC affermando di essere un test per risolvere l’exploit CVE-2023-35829, un difetto di elevata gravità che ha avuto un impatto sul kernel Linux, in realtà, sarebbe una copia di un vecchio exploit per un’altra vulnerabilità del kernel Linux, identificata come CVE-2022-34918 e sfruttata per rilasciare una backdoor.

image 173 1
Fonte Uptycs

La backdoor nascosta operando come downloader, scaricherebbe ed eseguirebbe uno script bash di Linux, mascherandosi come un processo legittimo a livello di kernel, programmato per esfiltrare dati dal sistema e concedere all’attaccante l’accesso remoto non autorizzato.

Persistenza

All’avvio, il PoC sfrutterebbe il comando make (utilizzato solitamente per creare eseguibili da file di codice sorgente) per creare un file “kworker” e aggiungere il suo path al file “etc/bashrc“, consentendo così al malware di operare in modo persistente all’interno del sistema compromesso.

Raccomandazioni

Nonostante la rimozione da GitHub, questo PoC dannoso sarebbe stato ampiamente condiviso, prima che venisse scoperto, e secondo il rapporto “Per coloro che l’hanno eseguito, la probabilità di compromissione dei dati è alta“. 

Pertanto è fondamentale:

  • rimuovere eventuali chiavi ssh non autorizzate
  • eliminare il file kworker
  • rimuovere il percorso kworker dal file bashrc
  • controllare /tmp/.iCE-unix.pid per potenziali minacce
  • Adottare pratiche sicure per i test e in ambienti isolati per un migliore livello di protezione.

Sebbene non sia del tutto nuova, questa tendenza alla diffusione di malware tramite PoC pone una preoccupazione significativa ed è probabile che questa tattica continui ad evolversi“, allertano i ricercatori.

Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. "Education improves Awareness" è il suo motto.

Articoli correlati

Anatsa: trojan bancario colpisce USA con app legittime...

Voli fantasma OnLine: Polizia Postale oscura sito truffa

Garante privacy incontra Arma Carabinieri per attuazione protocollo...

USA: Governo muove Ethereum su Coinbase, fine sanzioni...

SEO poisoning, trojanizzazione di PuTTY e WinSCP colpiscono...

SHELLTER: framework commerciale per Pentesting arma campagne infostealer...

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope