Según reporta el portal ZDNet, ha sido detectada una nueva infección de malware para Linux, en este caso se trata de un troyano con funcionalidades de backdoor. El mismo ha sido detectado en los servidores del software open-source Unreal IRC Server, ya que atacantes han modificado el binario de instalación en el servidor y todos aquellos que han instalado la aplicación en los últimos meses han instalado la versión troyanizada de la misma.

El enunciado oficial en la página de Unreal IRC comienza reconociendo que se trata de una situación "embarazosa", y luego brindando algunos detalles del incidente:

Hemos encontrado que el archivo Unreal3.2.8.1.tar.gz en nuestros servidores ha sido reemplazado hace un tiempo con una versión con un backdoor (troyano) en ella. Este permite a una persona ejecutar CUALQUIER comando con los privilegios del usuario corriendo el servicio ircd.

Aparentemente el reemplazo del archivo .tar.gz ocurrió en noviembre de 2009 (al menos en algunos servidores). Parece que nadie lo notó hasta el momento.

Obviamente es un incidente muy serio, y estamos tomando las precauciones para que no vuelva a ocurrir jamás, y si llegara a pasar que sea detectado rápidamente.

Lo curioso del incidente no es su ocurrencia, ya que aquellos que convivimos en el mundo de la seguridad entendemos que este incidente es posible; sino que el instalador troyanizado estuvo casi ¡ocho meses activo en el servidor! Expertos en seguridad han analizado el archivo malicioso y han detectado que la modificación del archivo original se trata de tan sólo dos lineas de código, lo cual dificultaría su identificación. Pero, de todas formas, este incidente despierta algunos interrogantes: ¿los mecanismos para detectar estos incidentes en plataformas libres son suficientes? ¿existirán otros incidentes similares que aún no han sido descubiertos? Claramente es imposible saber la respuesta, pero sin dudas es una prueba más que la seguridad debe ser gestionada en todas las plataformas, y que no pueden descartarse por naturaleza estos incidentes sin contar con medidas de seguridad que lo avalen.

Para aquellos que han instalado Unreal IRCd Server en los últimos meses, algunos consejos para remediar el incidente:

  • Las versión afectada es la 3.2.8.1.  Versiones 3.2.8, versiones para Windows o instaladores descargados ANTES del 10 de noviembre de 2009 son seguras, aunque en este último caso se recomienda validar que no haya malware.
  • Para validar si están ejecutando la versión troyanizada pueden ver el hash del instalador, siendo el legítimo (versión benigna) el "7b741e94e867c0a7370553fd01506c66" y el correspondiente al archivo backdoor el "752e46f2d873c1679fa99de3f52a274d". Si no tienen el instalador, pueden ejecutar el siguiente comando en el directorio de Unreal3.2: "grep DEBUG3_DOLOG_SYSTEM include/struct.h". Si no hay salida es porque el sistema es seguro, si salen dos lineas es porque es el troyano.
  • La solución si el usuario detecta que está infectado es descargar el nuevo instalador, recompilar y reiniciar el servicio en el servidor IRC.

Un nuevo malware para Linux ha sido detectado, un incidente similar el ocurrido con el troyano para Linux que se distribuyó como protector de pantalla. Esto corrobora la tendencia que enunciamos desde el Laboratorio de ESET Latinoamérica a finales del año pasado... y es de esperar que estos incidentes seguirán apareciendo.

Sebastián Bortnik
Analista de Seguridad