De Russen beschikken over een geavanceerd hackerswapen waarmee Linux-computers zijn binnen te dringen. Daarvoor waarschuwen de Amerikaanse veiligheidsautoriteiten National Security Agency (NSA) en FBI.
De tot voor kort onbekende malware die Drovorub wordt genoemd, zou al door de Russische militaire inlichtingendienst GROe worden gebruikt. Een speciale eenheid 26165, die ook bekendstaat als Fancy Bear, APT 28 of Strontium, voert hiermee aanvallen uit.
De NSA en FBI kwamen tot voor kort zelden met zulke gedetailleerde waarschuwingen, maar het gevaar wordt zo groot geacht dat meer voor openbaarmaking wordt gekozen. Veel defensie-organisaties gebruiken Linux-systemen voor hun server-infrastructuur en netwerken.
De malware moet daarom heel serieus worden genomen. Beide organisaties geven ook tips hoe de besmettingen zijn op te sporen en wat hier tegen is te doen. Hierover is een 45 pagina’s tellend rapport verschenen.
Steve Grobman, cto van McAfee, vergelijkt Drovorub met een Zwitsers zakmes. Met deze malware kunnen aanvallers verschillende taken uitvoeren. Voorbeelden zijn diefstal van bestanden en het overnemen van de controle over andermans computer.
Enige nuancering is wel op zijn plaats: alleen Linux systemen met een kernel versie kleiner dan 3.7 zijn kwetsbaar. In de praktijk betekent dit dat Red Hat Enterprise Linux 7 en 8 GEEN gevaar lopen. Hetzelfde geldt voor CentOS 7 en CentOS 8, recente versies van SUSE Linux en Ubuntu.
Het is common sense maar voor de volledigheid: beheerders van legacy systemen met een kwetsbare oude Linux kernel doen er goed aan om die systemen NIET benaderbaar te maken vanaf het Internet.
Typisch opgeklopt verhaal. Momenteel op Ubuntu 16.04 kernelversie 4.4. Ter info oudere versies ubuntu in internet worden al niet meer ondersteund. Iedere systemmanager weet dat je je systeem uptodate moet houden.
Bij de andere distros is dat het zelfde.
Blijven legacy-systemen zoals Pieter al zei.
Daar zit over het algemeen het probleem dat er geen updates geladen worden, na zo veel jaren linux is dat een reden de leveranciers van dat soort systemen hard aan te pakken. Velen dachten dat het zo eenvoudig was een linuxkernel te gebruiken, geen hoge ontwikkelingskosten etc. maar moeten nu gekonfronteerd worden met hun policy van pakken en wegwezen.
Het gebruik van FOSS brengt ook verantwoording met zich mee, dat wordt te vaak vergeten.
Verder, versie nummers zeggen niet zo veel. Red-hat bijvoorbeeld doet aan backporting. Je moet kijken welke CVEs gepatched zijn via bijv de changelog in de .rpm en of andere mitigatie maatregelen niet getroffen zijn zoals bij het gebruik van SELinux. Dit is ook elke keer weer een discussie met auditors die excel sheet vakjes vinken en niets anders. Een versie nummer is slechts een ‘hint’, meer niet.