Un PoC (Proof of Concept) invece di dimostrare una vulnerabilità, nasconderebbe una backdoor. Questo è quello che sarebbe stato scoperto dal team di ricerca di Uptycs, e che avrebbe un impatto particolare sulla comunità di ricerca sulla sicurezza.
Di cosa si tratta
“I ricercatori di sicurezza si affidano ai PoC per comprendere le potenziali vulnerabilità tramite test innocui. In questo caso, il PoC è un lupo travestito da agnello, che nutre intenti dannosi sotto le spoglie di un innocuo strumento di apprendimento.”, si legge nel rapporto.
Il falso PoC affermando di essere un test per risolvere l’exploit CVE-2023-35829, un difetto di elevata gravità che ha avuto un impatto sul kernel Linux, in realtà, sarebbe una copia di un vecchio exploit per un’altra vulnerabilità del kernel Linux, identificata come CVE-2022-34918 e sfruttata per rilasciare una backdoor.
La backdoor nascosta operando come downloader, scaricherebbe ed eseguirebbe uno script bash di Linux, mascherandosi come un processo legittimo a livello di kernel, programmato per esfiltrare dati dal sistema e concedere all’attaccante l’accesso remoto non autorizzato.
Persistenza
All’avvio, il PoC sfrutterebbe il comando make (utilizzato solitamente per creare eseguibili da file di codice sorgente) per creare un file “kworker” e aggiungere il suo path al file “etc/bashrc“, consentendo così al malware di operare in modo persistente all’interno del sistema compromesso.
Raccomandazioni
Nonostante la rimozione da GitHub, questo PoC dannoso sarebbe stato ampiamente condiviso, prima che venisse scoperto, e secondo il rapporto “Per coloro che l’hanno eseguito, la probabilità di compromissione dei dati è alta“.
Pertanto è fondamentale:
- rimuovere eventuali chiavi ssh non autorizzate
- eliminare il file kworker
- rimuovere il percorso kworker dal file bashrc
- controllare /tmp/.iCE-unix.pid per potenziali minacce
- Adottare pratiche sicure per i test e in ambienti isolati per un migliore livello di protezione.
“Sebbene non sia del tutto nuova, questa tendenza alla diffusione di malware tramite PoC pone una preoccupazione significativa ed è probabile che questa tattica continui ad evolversi“, allertano i ricercatori.