В «Отчете об угрозах Linux за 2021 год, 1 полугодие» от Trend Micro обнаружено, что облачные операционные системы Linux являются серьезными мишенями для кибератак, причем в первом случае было обнаружено около 13 миллионов половина этого года. Соответственно, по мере того, как организации расширяют свое присутствие в облаке, они подвергаются всепроникающим угрозам, существующим в среде Linux.
В этом последнем отчете об угрозах, выпущенном 23 августа, подробно рассматривается ландшафт угроз Linux. В нем обсуждается несколько неотложных проблем безопасности, влияющих на работу Linux в облаке.
Основные выводы заключаются в том, что, по мнению исследователей, Linux является мощным, универсальным и надежным, но не лишенным недостатков. Однако, как и другие операционные системы, Linux остается уязвимым для атак.
Linux в облаке поддерживает большинство инфраструктур, и пользователи Linux составляют большую часть корпоративной клиентской базы Trend Micro Cloud One — 61 процент по сравнению с 39 процентами пользователей Windows.
Данные поступают из сети Trend Micro Smart Protection Network (SPN) или хранилища данных для всех обнаружений во всех продуктах Trend Micro. Результаты показывают, что корпоративный Linux подвергается значительному риску из-за ошибок конфигурации системы и устаревших дистрибутивов Linux.
Например, данные интернет-сканера Censys.io показали, что 6 июля 2021 г. было обнаружено около 14 миллионов результатов для незащищенных устройств, работающих под управлением любой операционной системы Linux. Поиск порта 22 в Shodan, порте, обычно используемом для Secure Протокол Shell (SSH) для машин на базе Linux показал, что по состоянию на 27 июля 2021 г. было обнаружено почти 19 миллионов незащищенных устройств.
Как и любая операционная система, безопасность полностью зависит от того, как вы используете, настраиваете или управляете операционной системой. Каждое новое обновление Linux пытается повысить безопасность. Однако, чтобы получить значение, вы должны включить и правильно настроить его, предостерег Джозеф Карсон, главный специалист по безопасности и консультант по информационной безопасности компании Thycotic.
«Состояние безопасности Linux сегодня довольно хорошее и развивается в положительную сторону, с гораздо большим количеством встроенных функций прозрачности и безопасности. Тем не менее, как и многие операционные системы, вы должны устанавливать, настраивать и управлять им, помня о безопасности, поскольку киберпреступники используют преимущества человеческого фактора », — сказал он LinuxInsider.
Содержание статьи
Основные угрозы для Linux
В отчете Trend Micro были обнаружены безудержные семейства вредоносных программ в системах Linux. В отличие от предыдущих отчетов, основанных на типах вредоносных программ, в этом исследовании основное внимание уделялось распространенности Linux как операционной системы и распространенности различных угроз и уязвимостей, преследующих ОС.
Этот подход показал, что три основных обнаруженных угрозы происходят из США (почти 40 процентов), Таиланда (19 процентов) и Сингапура (14 процентов).
Обнаружение происходило в системах, в которых использовались устаревшие версии дистрибутивов Linux. Четыре дистрибутива с истекшим сроком действия: CentOS версий 7.4–7.9 (почти 44 процента), CloudLinux Server (более 40 процентов) и Ubuntu (около 7 процентов).
Компания Trend Micro отслеживала более 13 миллионов вредоносных событий, отмеченных ее датчиками. Затем исследователи составили список основных типов угроз, собранных из 10 основных семейств вредоносных программ, поражающих серверы Linux с 1 января по 30 июня 2021 года.
Основные типы угроз, обнаруженные в системах Linux в первой половине 2021 года:
- Coinminers (24,56%)
- Веб-оболочка (19,92%)
- Программы-вымогатели (11,56%)
- Трояны (9,56%)
- Прочее (3,15%)
Четыре основных дистрибутива Linux, в которых наиболее опасны типы угроз в системах Linux были обнаружены в первой половине 2021 года:
- CentOS Linux (50,80%)
- Сервер CloudLinux (31,24%)
- Сервер Ubuntu (9,56%)
- Red Hat Enterprise Linux Server (2,73 процента)
К основным семействам вредоносных программ относятся:
- Coinminers (25 процентов)
- Веб-оболочки (20 процентов)
- Программы-вымогатели (12 процентов)
CentOS Linux и CloudLinux Server являются лучшими дистрибутивами Linux с обнаруженными есть типы, в то время как атаки веб-приложений оказываются наиболее распространенным вектором атак.
Наиболее популярные веб-приложения
Большинство приложений и рабочих нагрузок, доступных в Интернете, запускают веб-приложения. По словам исследователей, атаки на веб-приложения являются одними из наиболее распространенных векторов атак в телеметрии Trend Micro.
В случае успешного запуска атаки веб-приложений позволяют хакерам выполнять произвольные сценарии и взламывать секреты. Атаки веб-приложений также могут изменять, извлекать или уничтожать данные. Исследование показывает, что 76% атак совершаются через Интернет.
Стек LAMP (Linux, Apache, MySQL, PHP) позволил недорого и легко создавать веб-приложения. По словам Джона Бамбенека, советника по разведке угроз в Netenrich, он фактически демократизировал Интернет, так что каждый мог создать веб-приложение.
«Проблема в том, что любой может создать веб-приложение. Хотя мы все еще ждем наступления года Linux на настольных компьютерах, организациям важно использовать передовой опыт для своего присутствия в Интернете. Как правило, это означает постоянное отслеживание исправлений / обновлений CMS и регулярное сканирование даже с инструментами с открытым исходным кодом (такими как Zed Attack Proxy) для поиска и устранения уязвимостей SQL-инъекций », — сказал он LinuxInsider.
В отчете упоминается 10 основных угроз безопасности проекта Open Web Application Security Project (OWASP), в которых указывается, что недостатки внедрения и атаки с использованием кросс-скриптов (XSS) остаются на прежнем уровне. Что поражает исследователей Trend Micro, так это большое количество уязвимостей небезопасной десериализации.
Частично это связано с повсеместным распространением Java и уязвимостями десериализации в ней, согласно Trend Micro. В отчете также отмечается, что наиболее заметными являются уязвимости десериализации Liferay Portal, Ruby on Rails и Red Hat JBoss.
Злоумышленники также пытаются использовать уязвимости с нарушенной аутентификацией, чтобы получить несанкционированный доступ к системам. Кроме того, количество попаданий инъекций команд также вызывает удивление, поскольку они выше, чем ожидали аналитики Trend Micro.
Ожидаемая тенденция
Неудивительно, что большинство этих атак осуществляются через Интернет. Каждый веб-сайт индивидуален, создается разными разработчиками с разным набором навыков, заметил Шон Смит, директор по инфраструктуре nVisium.
«Существует широкий спектр различных фреймворков на множестве языков с различными компонентами, каждый из которых имеет свои преимущества и недостатки. Добавьте к этому тот факт, что не все разработчики являются гуру безопасности, и вы получите невероятно заманчивую цель », — сказал он LinuxInsider.
Веб-серверы — одна из наиболее распространенных служб, предоставляемых Интернету, поскольку большая часть мира взаимодействует с Интернетом через веб-сайты. Есть и другие уязвимые области, такие как FTP или IRC-серверы, но подавляющее большинство мира использует веб-сайты в качестве основной точки контакта с Интернетом.
«В результате именно здесь злоумышленники будут сосредоточены, чтобы получить наибольшую отдачу от вложенного времени», — сказал Смит.
OSS, связанный с атаками на цепочки поставок
Цепочки поставок программного обеспечения также должны быть защищены, чтобы противостоять атакам Linux, отмечается в отчете Trend Micro. Злоумышленники могут вставить вредоносный код для компрометации программных компонентов сторонних поставщиков. Затем этот код подключается к командному серверу для загрузки и развертывания бэкдоров и других вредоносных полезных нагрузок в системе, вызывая удаленный код.
Это может привести к удаленному выполнению кода в системе и вычислительных ресурсах предприятия. Согласно отчету Trend Micro, атаки на цепочки поставок также могут происходить из-за неправильной конфигурации, которая является вторым по значимости типом инцидентов в облачных средах. Более 56 процентов респондентов опроса имели неверную конфигурацию или известную неисправность уязвимостей, связанных с их облачными приложениями.
Хакерам сейчас легко. «Основные типы атак на веб-приложения в последнее время оставались неизменными. Это, в сочетании с увеличением времени исправления и снижением количества исправлений, облегчает работу хакерам », — сказал Сету Кулкарни, вице-президент по стратегии NTT Application Security.
Организациям необходимо тестировать приложения в производственной среде, чтобы определить три-пять основных типов уязвимостей. Затем он рекомендовал начать целевую кампанию по их устранению, промыть и повторить.
«Отчет об угрозах Linux за 2021 год, 1 полугодие» доступен здесь.