Una nueva amenaza cibernética ha sido identificada en dispositivos CentOS Linux, donde un rootkit avanzado permite a los atacantes tomar control completo de los sistemas comprometidos. Este malware, clasificado como una amenaza de nivel crítico, utiliza un enfoque sofisticado para infiltrarse, persistir y operar en los sistemas afectados.
El alcance de la amenaza
La investigación llevada a cabo por el equipo de FortiGuard Labs reveló que los atacantes explotaron múltiples vulnerabilidades en un dispositivo para desplegar un rootkit (un módulo de kernel malicioso denominado sysinitd.ko) y un archivo ejecutable en espacio de usuario (sysinitd). Estos archivos fueron instalados mediante un script (Install.sh) que garantizaba la persistencia del malware al configurarlo para que se iniciara durante el arranque del sistema.
El análisis mostró que el rootkit no solo intercepta tráfico entrante utilizando Netfilter, sino que también permite la ejecución remota de comandos con privilegios de administrador a través de un proceso de espacio de usuario manipulado.
Cómo opera el rootkit
- Registro en Netfilter: El rootkit utiliza el marco de Netfilter del kernel de Linux para interceptar paquetes entrantes. Configura un «hook» en la etapa de preenrutamiento (NF_INET_PRE_ROUTING), permitiendo a los atacantes analizar y manipular el tráfico antes de cualquier decisión de enrutamiento.
- Persistencia: El script de instalación asegura que el rootkit se cargue automáticamente durante el arranque mediante entradas en archivos clave del sistema, como
/etc/rc.local. - Cifrado y control remoto: Para identificar los paquetes enviados por el atacante, se requiere un paquete inicial que contiene datos de verificación específicos. El rootkit genera una clave de cifrado basada en este paquete inicial, estableciendo una comunicación segura entre el atacante y el sistema comprometido.
- Proceso de usuario manipulado: El archivo ejecutable en espacio de usuario (sysinitd) se disfraza como el proceso «bash» para evitar ser detectado por administradores del sistema. Este proceso permite la ejecución de comandos remotos enviados por el atacante.
Impacto potencial
El rootkit tiene implicaciones graves para los usuarios de CentOS Linux, ya que permite a los atacantes:
- Tomar el control completo de los sistemas comprometidos.
- Interceptar y manipular el tráfico de red entrante.
- Ejecutar comandos maliciosos con privilegios elevados.
- Establecer comunicación cifrada para evitar la detección.
Cómo protegerse
Para minimizar el riesgo de infección, se recomienda a los usuarios implementar las siguientes medidas:
- Mantener los sistemas actualizados: Instalar parches de seguridad y actualizaciones de software para corregir vulnerabilidades conocidas.
- Utilizar herramientas de detección avanzadas: Los productos como FortiGate, FortiMail y FortiEDR ofrecen detección y protección contra este tipo de amenazas.
- Revisar archivos de configuración críticos: Inspeccionar entradas sospechosas en archivos como
/etc/rc.localy eliminar configuraciones no autorizadas. - Monitorizar tráfico de red: Implementar soluciones de monitoreo que detecten actividades anómalas en los paquetes entrantes.
Conclusión
Este rootkit representa una amenaza significativa para la seguridad de los sistemas Linux. Los usuarios de CentOS, especialmente en entornos críticos, deben tomar medidas inmediatas para proteger sus infraestructuras y prevenir posibles compromisos. Además, es crucial educar a los equipos de TI sobre estos vectores de ataque avanzados y garantizar que las políticas de seguridad estén actualizadas y sean efectivas.
vía: fortinet
