OutlawCounty: la CIA la toma con los linuxeros
Parece ser que la CIA no ve con buenos ojos a los Linuxeros y como hemos visto, el grupo Wikileaks ha dado a conocer una colección llamada Vault 7 entre la que se encuentra este exploit para los sistemas GNU/Linux.
Desenmarañando el exploit se trata de un módulo diseñado para el núcleo de Linux que una vez implantado, es capaz de redirigir el tráfico de la máquina consiguiendo preferencia sobre las reflas de las iptables (el firewall que trae de serie el kernel Linux) creando una tabla oculta en el framework netfilter. Y claro, esto no es facil de detectar, para eso es necesario conocer el nombre de esa tabla impostora.
La infección se realiza mediante una utilidad de la linea de comandos llamada 'insmod' cuya función es la de insertar módulos en el núcleo Linux. Después solo hace falta tirar de iptables y establecer nuevas reglas en el tráfico de datos. Para comprobarlo se puede utilizar netcat para comprobar que todo funciona correctamente.
Realizada la infección en el sistema, Outlaw Country borra los rastros utilizando rmmod, una herramienta para eliminar modulos (ya cargados) en el kernel y que permite eliminar la oculta tabla de netfilter.
La versión que se ha liberado se trata de la 1.0 y que para tranquilidad de los usuarios domésticos del pingüino o mejor dicho, de distros no corporativas (enfocadas a las empresas) pueden estar tranquilos ya que este exploit es compatible solamente con CentOS y RHEL (6.x) con kernels estándar 2.6
A estos requisitos hay que sumarle que el administrador del sistema debe concederle acceso a la shell del sistema y root. Algo que si quiere pasar desapercibido puede no ser tan sencillo. Esta versión también peca de problemas de persistencia por ejemplo si hay algún problema con las iptables y se reinician o en el proceso de configuración si se establecen las reglas DNAT solamente mediane la cadena 'prerouting'.
En la web de wikileaks encontraréis más información
sobre el exploit. Según dijo la CIA, será liberado bajo licencia libre (tiene sentido ya que el kernel está bajo licenica libre).
No sabemos si hay por ahí ya otra versión más pulida, más fácil de ser introducida y con un alcance a más distros.
Comentarios
Publicar un comentario