Há algumas semanas, tivemos a ideia de escrever sobre as ameaças que afetam aos sistemas operacionais Linux. Por um tempo, devido a algumas viagens e outras atividades, tive que deixar de lado o assunto. No entanto, foi exatamente na última viagem, que realizei à Guatemala para participar do ESET Security Day, que surgiram várias perguntas sobre as ameaças para Linux (se realmente existiam e quais eram).

Apesar de nos últimos meses termos publicado informações sobre as ameaças como Linux/Rakos, Linux/KillDisk ou Linux/Shishiga, me chamou à atenção que o Top 3 do ranking de detecções dos produtos da ESET durante 2017 estivesse relacionado com os exploits para vulnerabilidades de, pelo menos, dois anos atrás.

Considerando que os últimos casos de propagação de códigos maliciosos exploravam vulnerabilidades, vale a pena citar as mais aproveitadas no Linux para que possam ser corrigidas nos servidores.

Escalação de privilégios no FreeBSD

no Linux o que mais encontramos são códigos maliciosos relacionados com a exploração de vulnerabilidades

Em primeiro lugar, encontramos a detecção do exploit para aproveitar a vulnerabilidade CVE-2013-2171, que permite fazer um escalação de privilégios no FreeBSD. Este sistema operacional talvez não seja o mais popular quando se trata de laptops, pela compatibilidade do hardware, mas é bastante utilizado quando se trata de servidores.

Se esta vulnerabilidade relatada em junho de 2013 for explorada, pode permitir a modificação não autorizada de um arquivo arbitrário ao qual o atacante tenha acesso de leitura. Este processo, dependendo do arquivo e da natureza das modificações, pode dar lugar a uma escalação de privilégios.

É interessante explicar que, para aproveitar esta vulnerabilidade, basta que o cibercriminoso possa executar o código arbitrário com privilégios de usuário no sistema alvo.

A correção desta vulnerabilidade está disponível a partir da versão 9.1 do sistema operacional.

Vulnerabilidades no Kernel do Linux

Em segundo lugar aparece a vulnerabilidade CVE-2014-3153, que está associada com um problema nas chamadas futex. Caso esta vulnerabilidade seja explorada, pode permitir a um usuário local e sem privilégios bloquear o Kernel (causando uma negação de serviço) ou até mesmo a escalação de privilégios no sistema.

Sendo uma vulnerabilidade na versão 3.14.5 do Kernel do Linux, várias distribuições foram afetadas. No entanto, quase todas foram corrigidas por volta de 2014, considerando que seria necessário apenas atualizá-la.

Ubuntu com uma vulnerabilidade de alta gravidade

A vulnerabilidade CVE-2015-1328 está associada com a funcionalidade OverlayFS, utilizada para unir unidades ou sistemas de arquivos. Esta vulnerabilidade está presente nas versões Ubuntu 12.04/14.04/14.10/15.04.

Como, por conta da vulnerabilidade, as permissões para a criação de arquivos não são corretamente verificadas, os usuários locais podem obter acesso root ao sistema.

Outras vulnerabilidades usadas

Apesar das vulnerabilidades anteriores terem sido mais detectadas pelos nossos produtos, existem outros exploits que aparecem na lista.

Enquanto nos sistemas operacionais Windows falamos de ransomware e botnets, no Linux o que mais encontramos são códigos maliciosos relacionados com a exploração de vulnerabilidades, inclusive algumas com mais de 10 anos como a CVE-2003-0127, que se encontra dentro dos 20 códigos maliciosos mais detectados em plataformas Linux.

O curioso é que todas as vulnerabilidades estão em distribuições para as quais já existe uma atualização que corrije o problema. Desta forma, na hora de verificar qual versão do sistema operacional está utilizando e, se está dentro das versões vulneráveis, também planeje a melhor forma de fazer a atualização e evite dores de cabeça no futuro.

Talvez uma das lições mais importantes aprendidas depois da propagação massiva do Wannacryptor tenha sido a de manter atualizado o Windows. Então, não desperdice este aprendizado, atualizando também os sistemas Linux.

Já vimos ameaças como o Windigo que afetaram milhares de servidores e, apesar de ser verdade que não existam muitos códigos maliciosos para equipamentos com distribuições Linux, temos visto como é cada vez mais comum ver ameaças para servidores e equipamentos da IoT. Desta forma, a possibilidade de evitar longos fins de semana corrigindo incidentes pode partir de uma correta atualização da infraestrutura.

Leia também: Do you really need antivirus software for Linux desktops? (em inglês).