Categorie
Sicurezza Informatica

Falso PoC rilascia una backdoor sfruttando un bug Linux

Tempo di lettura: 2 minuti. La tendenza a diffondere malware tramite PoC continua ad evolversi

Tempo di lettura: 2 minuti.

Un PoC (Proof of Concept) invece di dimostrare una vulnerabilità, nasconderebbe una backdoor. Questo è quello che sarebbe stato scoperto dal team di ricerca di Uptycs, e che avrebbe un impatto particolare sulla comunità di ricerca sulla sicurezza.

https://www.bleepingcomputer.com/news/security/fake-linux-vulnerability-exploit-drops-data-stealing-malware/

Di cosa si tratta

“I ricercatori di sicurezza si affidano ai PoC per comprendere le potenziali vulnerabilità tramite test innocui. In questo caso, il PoC è un lupo travestito da agnello, che nutre intenti dannosi sotto le spoglie di un innocuo strumento di apprendimento.”, si legge nel rapporto.

Il falso PoC affermando di essere un test per risolvere l’exploit CVE-2023-35829, un difetto di elevata gravità che ha avuto un impatto sul kernel Linux, in realtà, sarebbe una copia di un vecchio exploit per un’altra vulnerabilità del kernel Linux, identificata come CVE-2022-34918 e sfruttata per rilasciare una backdoor.

Fonte Uptycs

La backdoor nascosta operando come downloader, scaricherebbe ed eseguirebbe uno script bash di Linux, mascherandosi come un processo legittimo a livello di kernel, programmato per esfiltrare dati dal sistema e concedere all’attaccante l’accesso remoto non autorizzato.

Persistenza

All’avvio, il PoC sfrutterebbe il comando make (utilizzato solitamente per creare eseguibili da file di codice sorgente) per creare un file “kworker” e aggiungere il suo path al file “etc/bashrc“, consentendo così al malware di operare in modo persistente all’interno del sistema compromesso.

Raccomandazioni

Nonostante la rimozione da GitHub, questo PoC dannoso sarebbe stato ampiamente condiviso, prima che venisse scoperto, e secondo il rapporto “Per coloro che l’hanno eseguito, la probabilità di compromissione dei dati è alta“. 

Pertanto è fondamentale:

  • rimuovere eventuali chiavi ssh non autorizzate
  • eliminare il file kworker
  • rimuovere il percorso kworker dal file bashrc
  • controllare /tmp/.iCE-unix.pid per potenziali minacce
  • Adottare pratiche sicure per i test e in ambienti isolati per un migliore livello di protezione.

Sebbene non sia del tutto nuova, questa tendenza alla diffusione di malware tramite PoC pone una preoccupazione significativa ed è probabile che questa tattica continui ad evolversi“, allertano i ricercatori.

Di Salvatore Lombardo

Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. "Education improves Awareness" è il suo motto.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version