Se cree que Linux es muy seguro, que nadie lo puede atacar, pero… Linux es el sistema operativo utilizado cada vez con mayor cobertura en el mundo de la computación, esto debido a que muchas de sus implementaciones son gratuitas, además por las ventajas que trae su uso como la adaptabilidad, fiabilidad y facilidad de configuración.
Por todo lo anterior, cada vez son más las entidades que optan por colocar este sistema operativo en sus equipos de escritorio y en sus servidores. Una de las bondades que tenía desde sus inicios este sistema operativo, es que era muy seguro, que no era objeto de hackeos. Pero esto ya no es tan cierto.
La popularidad que ganó el sistema Linux y su masificación atrajo la atención de los atacantes que escudriñan sus entrañas para encontrar por dónde poder atacar, cómo afectar y poder tomar dominio sobre el mismo con el fin de comprometer el sistema para fines maliciosos. Es decir, una de las grandes ventajas de Linux como era su seguridad ya no lo es.
Dado lo anterior es importante tanto revisar como tomar las medidas de seguridad para evitar los ataques que se aprovechan de las vulnerabilidades y errores del sistema operativo. Igualmente, las aplicaciones que se instalan y corren bajo este ambiente puede ser susceptible de ser afectadas por hackers.
Los métodos usados para atacar el sistema son variados, de manera similar a otros sistemas operativos como Windows, los delincuentes se valen de fallos en su sistema o buscan la manera de instalar código malicioso que permita el acceso al sistema por las llamadas “puertas traseras”.
Con frecuencia los investigadores del tema encuentran vulnerabilidades dentro del sistema o malware dentro de los archivos del mismo. No todas las vulnerabilidades afectan a todas las versiones e implementaciones de Linux.
Por eso, cuando sale a conocimiento público la alerta de alguna vulnerabilidad hay que revisar a qué distribuciones y versiones puede afectar.
Muchas veces lo que buscan los delincuentes es poder acceder al sistema de manera remota con privilegios de “root” es decir, de amo y señor del sistema, para realizar lo que se quiera como: capturar información, instalar programas, borrar información, etc.
Continuamente se descubren nuevas vulnerabilidades, por ejemplo, en octubre del año pasado se encontró una vulnerabilidad denominada “Looney Tunables”, registrada como CVE-2023-4911, esta es una vulnerabilidad de “buffer overflow”, afecta a las instalaciones por defecto de Debian 12 y 13, Ubuntu 22.04 / 23.04, y Fedora 37 / 38. Se vale este ataque de las variables de entorno para manipular y poder ejecutar código malicioso con privilegios de “root”.
EL CASO ZX UTILS
Recientemente, se dio a conocer una nueva vulnerabilidad que podría permitir el acceso remoto no autorizado a través de una puerta trasera maliciosa en una herramienta del sistema operativo, esta vulnerabilidad, que fue identificada como CVE-2024-3094, presenta un riesgo enorme para la seguridad del sistema.
Durante una investigación, se identificó un código malicioso oculto en el código fuente de la herramienta XZ Utils, que básicamente rompía cualquier tipo de seguridad y cifrado de SSH y permitía que un ciberdelincuente pudiera tener acceso no autorizado al sistema de forma remota.
Un empleado de Microsoft notó algo extraño cuando iniciaba sesión en su máquina utilizando SSH, le llamó la atención que se demoraba un poco más de lo acostumbrado, esto lo motivó a investigar la causa de la anomalía descubriendo que dentro del código de una nueva versión de la herramienta XZ Utils, que es usada para comprimir datos, estaba el malware inserto en él, el cual configuraba una puerta trasera que habría permitido a los hackers ingresar al sistema con una clave privada pudiendo tomar control del mismo.
Este código malicioso había sido introducido por el “administrador” del proyecto de esa versión de XZ Utils, alguien denominado Jia Tan, no se sabe ciencia cierta si Jia Tan es una persona o un grupo de hackers. Hay quienes sospechan que detrás de esto puede estar un estado o alguna nación que apoya a grupos de hackers para realizar este tipo de intromisión.
Jia Tan llevaba cerca de 3 años aportando códigos para diferentes proyectos y liderando el proyecto de XZ Utils. Por supuesto el hacker responsable de este suceso desapareció una vez se descubrió la anomalía.
Aunque aparentemente este malware aún no ha afectado a nadie, dado que se detectó tempranamente en etapa de desarrollo y aún no se había incluido en producción, sin embargo, alerta la preocupación por la seguridad del sistema operativo. Microsoft ha recomendado revisar qué versión de XZ Utils se tiene instalada y pide cambiar y utilizar una versión de XZ Utils que no esté infectada y estable como la versión 5.4.6.
Tanto en este caso, como para evitar sufrir afectación de nuestros sistemas, se dan otras recomendaciones que debemos tener en cuenta, tales como revisar periódicamente los registros de logs de auditoría del sistema y de las aplicaciones que puedan mostrar situaciones o fallas no comunes, las cuales indiquen posibilidad de procesos asociados con hackeo. También se recomienda el apoyarse con herramientas de antivirus actualizados para proteger los sistemas.
Por otra parte, este caso pone de manifiesto la necesidad de controlar aún más a los colaboradores de proyectos, conocer su historial y la necesidad de revisar muy bien los aportes de código que hagan a los desarrollos en que participen. Otras recomendaciones tienen que ver con no utilizar librerías de código libre sin que estas hayan sido auditadas.
Es igualmente importante que los administradores de sistemas operativos realicen la aplicación de los parches de seguridad que se vayan recomendando por parte de los desarrolladores de las diferentes implementaciones de Linux. Todas estas medidas mitigarán los riesgos del sistema.
Si deseas tener siempre a la mano el artículo escrito por Óscar Rodríguez, te invitamos a descargarlo, compartirlo y comentarnos qué opinas al respecto.
REFERENCIAS