Cerca de 14 millones de sistemas basados en Linux están directamente expuestos a Internet, lo que los convierte en un objetivo lucrativo para una serie de ataques del mundo real que podrían dar lugar a la implantación de shells web maliciosos, mineros de monedas, ransomware y otros troyanos.
Esto es lo que se desprende de un análisis en profundidad del panorama de las amenazas a Linux publicado por la empresa de ciberseguridad estadounidense y japonesa Trend Micro, que detalla las principales amenazas y vulnerabilidades que afectan al sistema operativo en la primera mitad de 2021, basándose en los datos recopilados de honeypots, sensores y telemetría anónima.
La empresa, que detectó casi 15 millones de eventos de malware dirigidos a entornos de nube basados en Linux, descubrió que los mineros de monedas y el ransomware constituyen el 54% de todo el malware, y que las web shells representan una cuota del 29%.
Además, al diseccionar más de 50 millones de eventos reportados desde 100.000 hosts Linux únicos durante el mismo período de tiempo, los investigadores encontraron 15 debilidades de seguridad diferentes que se sabe que son explotadas activamente en la naturaleza o tienen una prueba de concepto (PoC)
- CVE-2017-5638 (CVSS score: 10.0) – Apache Struts 2 remote code execution (RCE) vulnerability
- CVE-2017-9805 (CVSS score: 8.1) – Apache Struts 2 REST plugin XStream RCE vulnerability
- CVE-2018-7600 (CVSS score: 9.8) – Drupal Core RCE vulnerability
- CVE-2020-14750 (CVSS score: 9.8) – Oracle WebLogic Server RCE vulnerability
- CVE-2020-25213 (CVSS score: 10.0) – WordPress File Manager (wp-file-manager) plugin RCE vulnerability
- CVE-2020-17496 (CVSS score: 9.8) – vBulletin ‘subwidgetConfig’ unauthenticated RCE vulnerability
- CVE-2020-11651 (CVSS score: 9.8) – SaltStack Salt authorization weakness vulnerability
- CVE-2017-12611 (CVSS score: 9.8) – Apache Struts OGNL expression RCE vulnerability
- CVE-2017-7657 (CVSS score: 9.8) – Eclipse Jetty chunk length parsing integer overflow vulnerability
- CVE-2021-29441 (CVSS score: 9.8) – Alibaba Nacos AuthFilter authentication bypass vulnerability
- CVE-2020-14179 (CVSS score: 5.3) – Atlassian Jira information disclosure vulnerability
- CVE-2013-4547 (CVSS score: 8.0) – Nginx crafted URI string handling access restriction bypass vulnerability
- CVE-2019-0230 (CVSS score: 9.8) – Apache Struts 2 RCE vulnerability
- CVE-2018-11776 (CVSS score: 8.1) – Apache Struts OGNL expression RCE vulnerability
- CVE-2020-7961 (CVSS score: 9.8) – Liferay Portal untrusted deserialization vulnerability
Y lo que es más preocupante, las 15 imágenes de Docker más utilizadas en el repositorio oficial Docker Hub han revelado que albergan cientos de vulnerabilidades que abarcan python, node, wordpress, golang, nginx, postgres, influxdb, httpd, mysql, debian, memcached, redis, mongo, centos y rabbitmq, lo que subraya la necesidad de proteger los contenedores de una amplia gama de posibles amenazas en cada etapa del proceso de desarrollo.
«Los usuarios y las organizaciones deberían aplicar siempre las mejores prácticas de seguridad, que incluyen la utilización del enfoque de seguridad por diseño, el despliegue de parches virtuales multicapa o el blindaje de vulnerabilidades, el empleo del principio de mínimo privilegio y la adhesión al modelo de responsabilidad compartida», concluyen los investigadores.