{"id":852302,"date":"2023-07-13T13:31:52","date_gmt":"2023-07-13T13:31:52","guid":{"rendered":"https:\/\/teknomers.com\/es\/poc-falso-para-la-vulnerabilidad-del-kernel-de-linux-en-github-expone-a-los-investigadores-a-malware\/"},"modified":"2023-07-13T13:31:56","modified_gmt":"2023-07-13T13:31:56","slug":"poc-falso-para-la-vulnerabilidad-del-kernel-de-linux-en-github-expone-a-los-investigadores-a-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/poc-falso-para-la-vulnerabilidad-del-kernel-de-linux-en-github-expone-a-los-investigadores-a-malware\/","title":{"rendered":"PoC falso para la vulnerabilidad del kernel de Linux en GitHub expone a los investigadores a malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 de julio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Linux \/ Vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>En una se\u00f1al de que los investigadores de seguridad cibern\u00e9tica contin\u00faan bajo el radar de los actores maliciosos, se descubri\u00f3 una prueba de concepto (PoC) en GitHub, que oculta una puerta trasera con un m\u00e9todo de persistencia &#8220;artesanal&#8221;.<\/p>\n<p>&#8220;En este caso, el PoC es un lobo con piel de oveja, que alberga intenciones maliciosas bajo la apariencia de una herramienta de aprendizaje inofensiva&#8221;, investigadores de Uptycs Nischay Hegde y Siddartha Malladi. <a rel=\"nofollow noopener\" href=\"https:\/\/www.uptycs.com\/blog\/new-poc-exploit-backdoor-malware\" target=\"_blank\">dicho<\/a>.  &#8220;Operando como un descargador, descarga y ejecuta silenciosamente un script bash de Linux, mientras disfraza sus operaciones como un proceso a nivel de kernel&#8221;.<\/p>\n<p>El <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/ChriSanders22\/CVE-2023-35829-poc\/\" target=\"_blank\">repositorio<\/a> se disfraza como un PoC para <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-35829\" target=\"_blank\">CVE-2023-35829<\/a>, una falla de alta gravedad recientemente revelada en el kernel de Linux.  Desde entonces ha sido derribado, pero no antes de que se bifurcara 25 veces. <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/ChriSanders22\/CVE-2023-20871-poc\/\" target=\"_blank\">Otro PoC<\/a> compartida por la misma cuenta, ChrisSanders22, para <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-20871\" target=\"_blank\">CVE-2023-20871<\/a>un error de escalada de privilegios que afectaba a VMware Fusion, se bifurc\u00f3 dos veces.<\/p>\n<p>Uptypcs tambi\u00e9n identific\u00f3 un <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/apkc\/CVE-2023-35829-poc\" target=\"_blank\">segundo perfil de GitHub<\/a> que contiene una PoC falsa para CVE-2023-35829.  Todav\u00eda est\u00e1 disponible al momento de escribir y se ha bifurcado 19 veces.  Un examen m\u00e1s detenido de la <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/apkc\/CVE-2023-35829-poc\/commits\/main\" target=\"_blank\">historial de compromisos<\/a> muestra que los cambios fueron impulsados \u200b\u200bpor ChriSanders22, lo que sugiere que se bifurc\u00f3 del repositorio original.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1689255112_717_PoC-falso-para-la-vulnerabilidad-del-kernel-de-Linux-en.jpg\" alt=\"Vulnerabilidad del kernel de Linux\" border=\"0\" data-original-height=\"352\" data-original-width=\"728\" title=\"Vulnerabilidad del kernel de Linux\"\/><\/div>\n<p>La puerta trasera viene con una amplia gama de capacidades para robar datos confidenciales de hosts comprometidos y permitir que un actor de amenazas obtenga acceso remoto agregando su clave SSH al archivo .ssh\/authorized_keys.<\/p>\n<p>&#8220;El PoC pretende que ejecutemos un comando make que es una herramienta de automatizaci\u00f3n utilizada para compilar y crear ejecutables a partir de archivos de c\u00f3digo fuente&#8221;, explicaron los investigadores.  &#8220;Pero dentro del Makefile reside un fragmento de c\u00f3digo que construye y ejecuta el malware. El malware nombra y ejecuta un archivo llamado <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@boutnaru\/the-linux-process-journey-kworker-f947634da73\" target=\"_blank\">kworker<\/a>que agrega la ruta $HOME\/.local\/kworker en $HOME\/.bashrc, estableciendo as\u00ed su persistencia&#8221;.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">\u00bfPreocupado por las amenazas internas?  \u00a1Te tenemos cubierto!  \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">\u00danete hoy<\/a><\/section>\n<p>El desarrollo se produce casi un mes despu\u00e9s de que VulnCheck descubriera una serie de cuentas falsas de GitHub que se hac\u00edan pasar por investigadores de seguridad para distribuir malware bajo la apariencia de explotaciones de PoC para software popular como Discord, Google Chrome, Microsoft Exchange Server, Signal y WhatsApp.<\/p>\n<p>Se recomienda a los usuarios que hayan descargado y ejecutado los PoC que utilicen claves SSH no autorizadas, eliminen el archivo kworker, eliminen la ruta de kworker del archivo bashrc y verifiquen \/tmp\/.iCE-unix.pid en busca de posibles amenazas.<\/p>\n<p>&#8220;Si bien puede ser un desaf\u00edo distinguir los PoC leg\u00edtimos de los enga\u00f1osos, la adopci\u00f3n de pr\u00e1cticas seguras como las pruebas en entornos aislados (por ejemplo, m\u00e1quinas virtuales) puede proporcionar una capa de protecci\u00f3n&#8221;, dijeron los investigadores.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/blog-post.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 de julio de 2023\ue804THNLinux \/ Vulnerabilidad En una se\u00f1al de que los investigadores de seguridad cibern\u00e9tica contin\u00faan<\/p>\n","protected":false},"author":1,"featured_media":852303,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,38,4013,21838,4662,50201,12583,18039,4668,4667,18038,36,4669,4654,4658,4659,4653,4655,18,53819,4663,4666,4665,4014,4660],"class_list":["post-852302","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-del","tag-expone","tag-falso","tag-filtracion-de-datos","tag-github","tag-investigadores","tag-kernel","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-linux","tag-los","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-poc","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/852302","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=852302"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/852302\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/852303"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=852302"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=852302"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=852302"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}