SpeakUp, il trojan invisibile agli antivirus

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...rus_80810.html

Check Point ha identificato SpeakUp, un nuovo malware che attacca sistemi Linux per installare cryptominer e aprire la strada ad altri trojan. Il problema è che a oggi non è rilevabile ad alcun antivirus.

Click sul link per visualizzare la notizia.

[LennyNERO69]

"Mariaaaa.... i popcorn e la birra!"

[acerbo]

"SpeakUp attacca macchine Linux e si diffonde tramite vulnerabilità del tipo Command Injection over HTTP"

Quindi utilizzano una falla di apache? di nginx?


"Dal momento che Linux è ampiamente utilizzato nei server aziendali, ci aspettiamo una grande crescita di Speakup nel corso dell'anno"

Grande crescita che vuole dire?
Al massimo sono a rischio i server che utilizzano appunto un servizio httpd e che sono esposti direttamente su internet e senza uno straccio di firewall/proxy.
PEr esperienza, a parte piccole realtà che non conosco, i server web si piazzano dentro dmz blindate per evitare appunto attacchi dall'esterno e se anche un server dovesse essere compromesso l'infezione resterebbe isolata ai soli server abilitati a parlarci secono le regole definite sui firewall.

Diciamo che in un'architettura classica web->app->db al massimo il trojan puo' replicarsi su due server, non su tutta la rete.

[insane74]

qualche info più precisa che era il caso di includere nell'articolo: https://research.checkpoint.com/spea...-linux-trojan/

[acerbo]

Quote:

Originariamente inviato da insane74

qualche info più precisa che era il caso di includere nell'articolo: https://research.checkpoint.com/spea...-linux-trojan/

quindi oltre ad un servizio http sulle macchine deve esserci installato pure php e perl.

Tra l'altro una buona regola di sicurezza é montare /tmp senza i diritti di esecuzione, cosi' anche nel caso in cui ci fossero tutti i prerequisiti necessari l'exploit non funzionerebbe.

[insane74]

Quote:

Originariamente inviato da acerbo

quindi oltre ad un servizio http sulle macchine deve esserci installato pure php e perl.

Tra l'altro una buona regola di sicurezza é montare /tmp senza i diritti di esecuzione, quindi anche nel caso in cui ci fossero tutti i prerequisiti necessari l'exploit non funzionerebbe.

non ho poi capito se solo certe versioni di php/perl sono vulnerabili o meno.
potrebbe anche essere che versioni più recenti siano state patchate e magari questa vulnerabilità non sia sfruttabile.

[pabloski]

Una buona sintesi la trovate qui https://debuglies.com/2019/02/05/spe...x-mac-devices/

p.s. attacca pure macOS e non solo Linux

[fano]

Spaventoso e totalmente indifendibile... Linux è totalmente bucato!

[pabloski]

Quote:

Originariamente inviato da fano

Spaventoso e totalmente indifendibile... Linux è totalmente bucato!

Quindi Windows è una groveria, visto che c'è un'intera industria che fa miliardi sul malware per Windows?

E perchè non citi macOS, che pure è vittima di questa campagna malevola?

Solita trollata?

[fano]

No, voglio solo dire che il mito di Linux sicuro decade...

e sì MacOS ad usare Unix come kernel (o meglio ad avere la "compatibilità" con l'ecosistema Unix / Linux) alla luce di sto cose non è che sia stata una grande idea.

Dico di più ci sono 60'000'000 di PS4 con kernel Unix e browser completamente bacato che ne sappiamo che non stiano minando criptovalute come ossesse?

[Varg87]

Quote:

Originariamente inviato da pabloski

Quindi Windows è una groveria, visto che c'è un'intera industria che fa miliardi sul malware per Windows?

E perchè non citi macOS, che pure è vittima di questa campagna malevola?

Solita trollata?

/whoosh!

[aqua84]

Quote:

Originariamente inviato da fano

No, voglio solo dire che il mito di Linux sicuro decade...

e sì MacOS ad usare Unix come kernel (o meglio ad avere la "compatibilità" con l'ecosistema Unix / Linux) alla luce di sto cose non è che sia stata una grande idea.

Dico di più ci sono 60'000'000 di PS4 con kernel Unix e browser completamente bacato che ne sappiamo che non stiano minando criptovalute come ossesse?

hai visto troppi film di fantascienza...
torna a guardare Uomini e Donne che è meno impegnativo

[insane74]

Quote:

Originariamente inviato da fano

No, voglio solo dire che il mito di Linux sicuro decade...

e sì MacOS ad usare Unix come kernel (o meglio ad avere la "compatibilità" con l'ecosistema Unix / Linux) alla luce di sto cose non è che sia stata una grande idea.

Dico di più ci sono 60'000'000 di PS4 con kernel Unix e browser completamente bacato che ne sappiamo che non stiano minando criptovalute come ossesse?

Perché sulle PS4 girano i vari servizi indicati nei link (postati da noi, non dalla redazione)? C’è installato php e perl?
Vabbè dai, sai trollare meglio di così.

[acerbo]

Quote:

Originariamente inviato da fano

No, voglio solo dire che il mito di Linux sicuro decade...

e sì MacOS ad usare Unix come kernel (o meglio ad avere la "compatibilità" con l'ecosistema Unix / Linux) alla luce di sto cose non è che sia stata una grande idea.

Dico di più ci sono 60'000'000 di PS4 con kernel Unix e browser completamente bacato che ne sappiamo che non stiano minando criptovalute come ossesse?

beh si é pieno di gente che mette su un server apache con php sulla ps4 per farci girare l'intranet aziendale o il sitarello con wordpress per postare i blog
mi rendo conto che forse il tuo post non meritava manco risposta, ma vabbè ormai é fatto

[zappy]

Quote:

Originariamente inviato da acerbo

quindi oltre ad un servizio http sulle macchine deve esserci installato pure php e perl.

Tra l'altro una buona regola di sicurezza é montare /tmp senza i diritti di esecuzione, cosi' anche nel caso in cui ci fossero tutti i prerequisiti necessari l'exploit non funzionerebbe.

/tmp senza x?
di default lo è, non c'è un motivo perchè lo sia?

[acerbo]

Quote:

Originariamente inviato da zappy

/tmp senza x?
di default lo è, non c'è un motivo perchè lo sia?

evidentemente non hai mai lavorato in ambienti dove la sicurezza ê un argomento all'ordine dell giorno e se avessi letto il rapporto di checkpoint capiresti di cosa parlo.
Nelle aziende i parametri di default non si lasciano nemmeno sulle macchine di sviluppo.

[Erotavlas_turbo]

Leggendo qui è un problema noto fino da novembre 2018 relativo a una libreria PHP.
Non è un problema del sistema operativo GNU/linux il quale è utilizzato come veicolo di infezione...

[fano]

Quote:

Originariamente inviato da acerbo

beh si é pieno di gente che mette su un server apache con php sulla ps4 per farci girare l'intranet aziendale o il sitarello con wordpress per postare i blog
mi rendo conto che forse il tuo post non meritava manco risposta, ma vabbè ormai é fatto

Sinceramente per quanto ami il marchio Sony non sono molto attenti alla sicurezza... si sono dimenticati le chiavi GPG in chiaro sulla Plastation Classic, quindi perché non PHP o Perl o Python?

Lo sai vero che PS4 non è altro che un PC con hardware un po' particolare in cui gira Net BSD?

Lo stesso modo in cui si fa il jailbreak della PS4 (usando javascript a un bug risolto da 10 anni!) usando l'online potrebbe essere un veicolo d'infezione...

[acerbo]

Quote:

Originariamente inviato da fano

Sinceramente per quanto ami il marchio Sony non sono molto attenti alla sicurezza... si sono dimenticati le chiavi GPG in chiaro sulla Plastation Classic, quindi perché non PHP o Perl o Python?

Lo sai vero che PS4 non è altro che un PC con hardware un po' particolare in cui gira Net BSD?

Lo stesso modo in cui si fa il jailbreak della PS4 (usando javascript a un bug risolto da 10 anni!) usando l'online potrebbe essere un veicolo d'infezione...

e questo che c'entra con la news?
Ma se non sai di cosa si parla non é meglio tacere?
Comunque per tua informazione BSD non é manco linux tecnicamente.

[zappy]

Quote:

Originariamente inviato da acerbo

evidentemente non hai mai lavorato in ambienti dove la sicurezza ê un argomento all'ordine dell giorno e se avessi letto il rapporto di checkpoint capiresti di cosa parlo.
Nelle aziende i parametri di default non si lasciano nemmeno sulle macchine di sviluppo.

linux ce l'ho a casa sulla mia macchina, quindi come viene gestito un server aziendale non m'interessa.
chiedevo chiarimenti su come si può migliorare la sicurezza su una macchina casalinga, visto che ho notato che /tmp è x per tutti.
Se vuoi fornire chiarimenti bene, oppure me ne farò una ragione