Pese a la importancia que aún tiene el software propietario (empezando por Microsoft Windows), raro es el momento en que no estamos usando algún componente open source, sea una mera biblioteca del software, o el servidor que gestiona responde a las solicitudes de nuestra app web favorita.
Y esa ubicuidad no hace sino generar problemas de seguridad: los hackers están cada vez más interesados en atacar aplicaciones open source, y a los responsables de las distribuciones Linux cada vez les cuesta más supervisar la creciente marea de paquetes de software que se actualiza constantemente.
Y así, Linux, que hasta hace poco era sinónimo de ‘seguridad’ (entendida meramente en el sentido de ausencia de malware), y del que se decía que, sencillamente, no necesitaba software antivirus… cada vez se ve más expuesto a nuevas ciberamenazas. De hecho, según datos de telemetría desvelados por Secure List, durante la primera mitad de 2023 aparecieron 260.000 muestras únicas de malware dirigidas a Linux.
-‘Soy un GNOME…’
Esta misma semana, un error de seguridad en la biblioteca libcue, utilizada para analizar archivos cue sheet, se ha integrado en el Tracker Miners, un indexador de metadatos de archivos incluido por defecto en las últimas versiones de GNOME.
Para quien no lo conozca, ‘GNOME’ es el entorno de escritorio más popular en sistemas Linux, usado por defecto en muchas distribuciones populares de Linux, como Debian, Ubuntu, Fedora y Red Hat Enterprise.
La vulnerabilidad, identificada como CVE-2023-43641, permite a los atacantes ejecutar código malicioso al aprovechar que Tracker Miners indexa automáticamente todos los archivos descargados. Para explotarla, el usuario debe descargar un archivo .CUE maliciosamente elaborado y guardarlo en la carpeta ~/Downloads (que, por otro lado, suele ser la carpeta por defecto para las descargas, lo que facilita la tarea del atacante).
Kevin Backhouse, investigador de seguridad de GitHub, descubrió la vulnerabilidad y su facilidad de explotación. Basta con que el usuario haga clic en un enlace malicioso para que un atacante pueda ejecutar código en su computadora.
-Free Download Manager, el troyanizado
Y si esto no fuera suficiente, hace tan sólo un mes salió a la luz la existencia de una campaña de malware que llevaba varios años en activo, y sólo pudimos saber de ello cuando los investigadores de ciberseguridad de Secure List analizaron un conjunto de dominios sospechosos, incluyendo fdmpkg[.]org.
Este dominio incluía un subdominio, deb.fdmpkg[.]org, que afirmaba alojar un repositorio Debian de un gestor de descargas llamado ‘Free Download Manager’. Sin embargo, se descubrió que este repositorio contenía un paquete infectado con un script que se ejecutaba al instalar el software.
lo que, a su vez, instalaba una puerta trasera que establecía una comunicación entre el equipo infectado y una serie de servidores de control y comando. Una vez comprometida la máquina, se desplegaba un «Bash stealer» que recopilaba información confidencial, incluyendo datos del sistema, historial de navegación, contraseñas guardadas y credenciales de servicios en la nube.
El paquete infectado se había estado distribuyendo durante años, y los usuarios afectados no se dieron cuenta de que habían caído víctimas de malware. La investigación reveló que la distribución del paquete malicioso podría haberse llevado a cabo a través de un ataque a la cadena de suministro en el sitio web oficial de Free Download Manager.
Además, los atacantes usaban una redirección inesperada en algunos casos para descargar el paquete malicioso. Los usuarios que intentaban descargar el software desde el sitio legítimo eran redirigidos al sitio malicioso.