Проблемы с безопасностью Linux растут, поскольку хакеры атакуют ОС

Опубликовано: 4 Апреля, 2023
Проблемы с безопасностью Linux растут, поскольку хакеры атакуют ОС

Если вы одновременно запускаете одинаковые компьютеры с Windows и Linux, вам не потребуется много времени, чтобы понять, что Windows является более опасным вредоносным ПО. Это то, чего ожидает каждый ИТ-администратор и к чему он готов. Однако их удивляет тот факт, что Linux и другое программное обеспечение с открытым исходным кодом стали серьезными целями вредоносных программ в серии недавних атак. Это вызвало обеспокоенность по поводу безопасности Linux.

Дыры в программном обеспечении, которое когда-то считалось безопасным, теперь обнаруживаются и эксплуатируются по своему усмотрению. Причина, по которой хакерам потребовалось так много времени, чтобы обратить свое внимание на Linux, заключается в том, что вы получаете гораздо больше целей с Windows, основываясь просто на количестве людей, использующих ОС Microsoft. Однако по мере того, как все больше и больше людей обращаются к открытым исходным кодам, эти цифры меняются, как и планы злоумышленников.

Низко висящий фрукт

Это никоим образом не означает, что в безопасности Linux больше дыр, чем в Windows. Это просто означает, что администраторы, которые привыкли беспокоиться о безопасности Windows, теперь должны добавить безопасность Linux в свой список проблем. Хотя Windows по-прежнему является основной целью, тот факт, что ИТ-администраторы не привыкли к атакам на Linux, делает ее легкой мишенью, а злоумышленникам нравятся легкие цели. Мы определенно можем ожидать более масштабных и организованных атак на открытый исходный код и Linux, поскольку все больше хакеров обращают на него внимание и обнажают дыры в его архитектуре. Мы также говорим здесь не только о безопасности Linux, но и о приложениях и программном обеспечении, которые на нем работают, и об уязвимостях, которые они несут.

Эквифакс нарушение

Популярная среда MVC с открытым исходным кодом, которая используется для создания веб-приложений Java, недавно попала в новости по совершенно неправильным причинам. Apache Struts был причиной недавно раскрытого взлома Equifax, в результате которого была украдена личная информация 143 миллионов человек, включая номера социального страхования, даты рождения, адреса и многое другое. Уязвимость веб-приложения в широко используемой среде веб-разработки Apache Struts с открытым исходным кодом позволила злоумышленникам проникнуть в Equifax и нанести ущерб.

По словам Яна Фолау, генерального директора GitLinks, специализирующейся на безопасности ПО с открытым исходным кодом, не менее половины компаний из списка Fortune 100 используют Struts, и менее 10% из них отслеживают ПО с открытым исходным кодом. Он также считает, что многие другие атаки будут запущены с использованием уязвимости Struts, потому что она останется неисправленной из-за невежества людей.

Это связано с тем, что все настолько привыкли к тому факту, что злоумышленники нацелены на Windows, что фактически создали для себя слепую зону. Он также добавляет, что без надлежащего мониторинга, даже если эти компании захотят обновить свои версии Struts, им будет трудно выяснить, какие приложения вообще используют Struts.

Теперь, несмотря на то, что уязвимость была впервые обнаружена и исправлена еще в начале марта, Equifax установила исправление только после атаки. Звучит очень похоже на закрытие сарая после того, как лошадь сбежала, и поэтому почти каждый список рекомендаций по предотвращению взлома обычно начинается с «используйте последнюю версию». Большинство людей, использующих Linux и открытый исходный код, считают само собой разумеющимся, что эти системы безопасны — и это правда до некоторой степени, или до тех пор, пока вы тратите время и усилия, чтобы, по крайней мере, поддерживать их в актуальном состоянии.

Проблемы с учетными данными по умолчанию

Если вы не беспокоитесь о мониторинге или обновлении своего программного обеспечения с открытым исходным кодом, скорее всего, вы также не удосужились изменить учетные данные по умолчанию, что является еще одним очень распространенным источником атак. Примером может служить недавняя вредоносная программа для Linux/Shishiga, которая использует четыре разных протокола (SSH, Telnet, HTTP и BitTorrent) и скрипты Lua для модульности, согласно анализу, проведенному исследователями безопасности из ESET. Shishiga полагается на использование слабых учетных данных по умолчанию в своих попытках внедриться в небезопасные системы с помощью довольно распространенной хакерской тактики.

Это включает в себя старый метод использования встроенного списка паролей, который позволяет вредоносным программам пробовать различные пароли, чтобы проверить, работает ли какой-либо из них. Eset рекомендует предотвратить заражение ваших устройств Shishiga и подобными червями, вам не следует использовать учетные данные Telnet и SSH по умолчанию.

Больше атак безопасности Linux

Еще одной недавней атакой на безопасность Linux и программное обеспечение с открытым исходным кодом стал вектор атаки BlueBorne, использующий уязвимости в реализации Bluetooth. Он может захватить устройство и использовать его для распространения вредоносных программ или программ-вымогателей, а также стать частью ботнета. В зоне риска находятся почти 5,3 миллиарда устройств, использующих операционные системы Windows, iOS, Android и Linux. Примерами нескольких устройств Linux, находящихся под угрозой, являются умные часы Samsung Gear S3, несколько телевизоров Samsung, дроны, устройства Tizen и некоторые настольные ПК и серверы Linux.

Недавний анализ WatchGuard Technologies более 26 500 активных UTM-устройств по всему миру позволил сделать несколько интересных открытий. Исследование показало, что хотя общее количество обнаруженных вредоносных программ снизилось на 52 процента по сравнению с четвертым кварталом 2016 года, вредоносные программы для Linux составляют более трети (36 процентов) основных угроз, наблюдаемых за этот период. Среди 10 основных обнаруженных угроз были Linux/Exploit, Linux/Downloader и Linux/Flooder, причем последняя была связана с общими инструментами DDoS.

Linux Exploit — это общий термин для троянов Linux, которые обычно заражают устройства перед сканированием связанных сетей на предмет наличия других служб Telnet или SSH, пытаясь пройти аутентификацию в системе, используя учетные данные по умолчанию. Примером может служить печально известная вредоносная программа Mirai.

Недостатки dnsmasq

В довершение ко всему исследователи Google обнаружили по крайней мере три программные ошибки в популярном программном пакете, которые могут сделать устройства под управлением Linux, FreeBSD, OpenBSD, NetBSD, macOS (и проприетарные прошивки) уязвимыми для злоумышленников. Рассматриваемый программный пакет называется Dnsmasq и довольно часто используется для упрощения связи сетевых устройств с использованием системы доменных имен и протокола динамической конфигурации хоста.

Что еще хуже, так это то, что он поставляется предварительно упакованным в Android, Ubuntu и большинстве других дистрибутивов Linux, а также может работать во многих других операционных системах, а также в прошивке маршрутизатора. Исследователи Google в своем блоге заявили, что из семи уязвимостей, обнаруженных в Dnsmasq, три были недостатками, которые позволяли удаленно выполнять вредоносный код.

Рандомизация макета адресного пространства — ключевая функция защиты Dnsmasq, предназначенная для предотвращения выполнения вредоносного кода. Один из недостатков выполнения кода вместе с обнаруженным Google багом утечки информации можно использовать вместе для обхода этой функции защиты. Руководители Google далее прокомментировали недостаток, назвав его «тривиальной для использования уязвимостью переполнения буфера на основе DHCP и стека».

Исправление уязвимостей

Исследователи Google работали вместе с Dnsmasq над исправлением уязвимостей в версии 2.78, которая доступна здесь. Android также пострадал от одной из менее серьезных ошибок, и исправление было распространено в октябрьском обновлении безопасности Android, которое было выпущено на уязвимые устройства в ноябре. Это просто доказывает, что как только вы думаете, что находитесь в безопасности и успокаиваетесь, вы становитесь именно той целью, которую ищет хакер.

Будем надеяться, что больше не будет считаться само собой разумеющимся, что Linux и программное обеспечение с открытым исходным кодом «безопасны по своей сути», и только системы Windows нуждаются в активной безопасности и мониторинге. В наше время, когда хакеры имеют в своем распоряжении те же технологии и оборудование, что и весь остальной мир, ничто уже не может считаться само собой разумеющимся. По мере того, как атаки становятся все более частыми, а исправления становятся все более распространенными, вскоре возникнут проблемы с безопасностью Linux, и все программное обеспечение с открытым исходным кодом будет отслеживаться и обновляться с той же бдительностью, что и системы Windows.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023