Linux

Som vi skrev i går er der fundet en kritisk fejl i et datakomprimeringsværktøj, xz Utils, der anvendes på mange Linux-platforme. Det var en udvikler hos Microsoft, Anders Freund, der afslørede, at en bagdør var blevet plantet med vilje i xz Utils.

RTM ransomware-as-a-service (RaaS) er begyndt at tilbyde Locker ransomware, der er rettet mod Linux-, NAS- og ESXi-systemer.

Det skriver Security Affairs.

Det er et threat intelligence-team hos sikkerhedsvirksomheden Uptycs, der har opdaget en variant af en kryptering, der er rettet mod Linux-, NAS- og ESXi-hosts. Den ser ud til at være baseret på kildekoden til Babuk ransomware, der blev lækket online i 2021.

Der er opdaget en sårbarhed i KSMBD til Linux. Det fremgår af en nyhed i Security Affairs og en række andre medier den 26. december.

Sårbarheden har en CVSS-score på 10 og påvirker SMB-servere med KSMBD aktiveret. KSMBD er en Linux-kerneserver, der implementerer SMB3-protokol i kernerummet til deling af filer over netværket. KSMBD er er som standard ikke aktiveret.

Ved kryptering af filer bruger ransomwaren NTRUEncrypt (https://en.wikipedia.org/wiki/NTRUEncrypt) public-key krypteringsalgoritmen, der understøtter forskellige 'Parametersæt' som relaterer til forskellige sikkerhedsniveauer.

I øjeblikket indeholder RedAlert-datalækage sitet kun data for én organisation, hvilket indikerer, at ransomwaren er meget ny.

En sårbarhed er blevet afsløret i et Linux-systemværktøj kaldet Polkit. Det skriver The Hacker News.

Sårbarheden giver angribere root-privilegier på Linux-systemer. Ifølge cybersikkerhedsfirmaet Qualys påvirker svagheden en komponent i Polkit kaldet pkexec. Det er et program, der er installeret som standard på alle større Linux-distributioner såsom Ubuntu, Debian, Fedora og CentOS.

Tilføjelse til originaltekst: Siden første udgave af historien er der opstået en diskussion/tvivl om rækkevidden af denne sårbarhed. Nogle mener, at der ikke er tale om en sårbarhed men, at det er et konfigurationsspørgsmål. CVE-2019-14899 har pt. status af ”currently awaiting analysis”. Under alle omstændigheder er det en god idé at følge nedenstående anbefaling om at enable "reverse path filtering".

En kriminel gruppe indruller i øjeblikket Linux-servere med sårbar Webmin i et botnet, der er blevet døbt Roboto.

Dette botnet kan spores tilbage til sommeren 2019, og det er knyttet til en sikkerhedsfejl i Webmin, som angiveligt er installeret på mere end 215.000 servere. Det skriver Bleepingcomputer.

Sårbarheden (CVE-2019-15107) blev rettet i august, og botnet-problemet er således henvendt til dem, der endnu ikke har opdateret.

Hvis du afvikler Webmin på Linux, er det derfor vigtigt, at versionen bringes op på nyeste, hvilket er Webmin 1.930.

Systemer som Red Hat, CentOS, Debian, Ubuntu eller OpenBSD er potentielt berørt af en sårbarhed i X.Org (CVE-2018-14665).

X.Org er en populær open source-implementering af X Windows System også kendt som X11, X eller X-Windows. Det er kernen i mange grafiske brugergrænseflader som eksempelvis Gnome eller KDE, der anvendes af BSD- og Linux-operativsystemer.

Problemet kan potentielt give en autentificeret angriber mulighed for et forhøje rettigheder eller afvikle ondsindet kode med root-privilegier.

Cisco er i øjeblikket ved at gennemsøge sine produkter for at fastlægge hvilke af dem, der anvender Linux kernel 3.9 og derover, som er sårbar overfor FragmentSmack denial-of-service (DoS)-problemet.

Netværksproducenten har nu samlet en liste med over 80 produkter, der er berørt af sårbarheden. Det oplyser firmaet i en ny opdatering af en sikkerhedsadvarsel fra august.

Indtil der kommer rettelser, anbefaler Cisco, at man kontrollerer produktdokumentationen for at finde eventuelle workarounds.

Linux-udviklerne har udsendt opdateringer til Linux, der skal lukke et alvorligt sikkerhedshul i Intel-processorer. Nærmere detaljer om hullet er endnu ikke offentliggjort.

Sårbarheden ser ud til at ligge i behandlingen af virtuel hukommelse. Ifølge The Register kan den bestå i, at programmer kan tilgå data, der burde være reserveret kernen.

Nærmere detaljer ventes offentliggjort i morgen.

AMD oplyser, at deres processorer ikke er berørt.

Rettelsen til Linux indfører en funktion, der kaldes Kernel Page Table Isolation (KPTI).