Linux Mint hackeado: incluye backdoors en su ISO

linuxmint-logo

Linux Mint, una de las distribuciones GNU/Linux más populares ha sufrido una intrusión de seguridad en la que los asaltantes se han hecho temporalmente con el control de su web y han introducido puertas traseras en una de sus últimas ediciones: Linux Mint 17.3 Cinnamon.

Las buenas noticias es que el equipo liderado por Clement Lefebvre ha descubierto con rapidez la intrusión, que solo afectaría a las imágenes descargadas ayer día 20 desde su web (en el caso de las realizadas vía torrent no se verían afectadas)

Según comenta Lefebvre en el blog de la distro (y todo parece indicar que es el verdadero Clem 🙂 ), la intrusión se realizó aprovechando una debilidad en wordpress, el sistema de gestión de contenidos (CMS) sobre el que se aloja el proyecto (el hecho de no utilizar https quizás también tenga algo que ver)

Aunque se desconocen los motivos del ataque parece que existe una “conexión bulgara “ en el origen del mismo y la gente de Mint ya está en contacto con las autoridades para investigar el ataque.

El archivo infectado sería /var/lib/man.cy y el malware encargado de hacer el trabajo sucio sería un troyano Unix llamado Tsunami que se conectaría a un sitio web desde el ordenador de la victima. A partir de ahí, puede obligar al equipo a formar parte de una red de bots o interceptar sus contraseñas.

En todo caso la recomendación es obvia: cualquier instalación realizada en las últimas 24 horas con Linux Mint 17.3 está comprometida, por lo que lo más seguro es efectuar una reinstalación con una ISO limpia (o probar temporalmente con otra distro… será por posibilidades en GNU/Linux…) prestando atención a que la suma de verificación sea correcta (para más seguridad lo podéis comprobar en este link con firma GPG incluida)

6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

Algo bastante sencillo de hacer:

md5sum archivo.iso

linuxmint-checksum

En el caso de haber accedido a servicios de correo electrónico, cuentas bancarias, etc. tampoco estaría de más cambiar la contraseña de los mismos.

Para que quede todo claro, indicar que esto solo afecta a los que ayer descargaron la ISO de Linux Mint 17.3 Cinnamon y que los demás usuarios de la distro están a salvo, no viéndose afectados los repositorios que proporcionan las actualizaciones de software.

22 thoughts on “Linux Mint hackeado: incluye backdoors en su ISO”

  1. Daniel says:

    Realmente preocupante. Menos mal que se reacciona rápidamente.Saludos.

  2. juansantiago00 says:

    Linuxmint atacado o linuxmint ha sufrido una intrusión, pero ya vasta por favor de maltratar la palabra hackear

    1. tannhausser says:

      Pues tienes razón! tomo nota para la próxima.

      Estuve a poner lo de “sufre una intrusión” pero se me hacía demasiado largo el título, lo de “atacado” era buena opción 🙂

    2. Sejuan says:

      basta va con B

    3. portaro says:

      Si me parece bien, el hackeo es un arte de jugar con cosas o código para que hagan algo diferente a lo que deberian hacer , creo que Tannhausser lo sabe tb, lo que pasa es que con tal cantidad de mal uso de la palabra a veces escribimos y ni damos cuenta de que no esta del todo bien usada. A mi me pasa tb y eso que tengo tremendo respecto por los hackers , más aún usando GNU/Linux sin ellos muchos más Winderos habria y no exisitiran tantas opciones. La historia le debe a ellos una gran contribución , creo yo. Asi que vivan los hackers y el hacking es inerente a todo ser humano quien nunca uso un boligrafo para tirar pepelitos con presion de aire de la boca, pues eso es hackear el boligrafo! Todos tenemos un poquito de hackers y todos nos merecemos ese respeto. Aunque Tannhausser le paso lo que a mi a veces se ve la palabra tan mal usada que terminas usandola tu mal.

  3. Dethorin says:

    Para la próxima que pongan seguridad a su página, la culpa la tuvieron ellos para empezar. Ni https tienen, ¡por Dios! Que vergüenza.

    1. portaro says:

      Amigo mio limosna hace falta a todos para poder dar hay que tener, no crees que con pocos fondos monetarios pagar buen soporte host puede ser un problema que ponga en causa el mismo devenir del proyecto, haz hecho alguna donacion monetaria? Si no pues todos los proyectos lo agradecen , sin dinero mucho hacen en dar sin pedir creo yo asi que usan lo que más en conta salga y mira que hacen una labor increible y eso que yo no uso Mint, pero les estoy enormemente agradecido , todos hicieramos asi y el mundo seria mucho pero mucho mejor – ayuda sin pedir nada en troca eso si es una ayuda que vale 2 , al ayudar recibes ,ese es el espiritu Linuxero.

      1. Dethorin says:

        La página de openSUSE está blindada, por poner un ejemplo, y no deberían depender únicamente de donaciones.

  4. Marcelo Urrutia says:

    Pero entiendo (en mi ignorancia) que las modificacion fueron hechas a nivel de Kernel?

  5. Nicolás says:

    Se especificó cuántos usuarios se vieron expuestos o afectados? O Cuántas bajadas de las copias ISO
    hubo en el lapso de tiempo que duró la intrusión?

  6. D'Artagnan says:

    Bueno y el tío (No digo kacker) que hizo eso ¿Que ha ganado?.Quizás estará abonando el terreno para fabricar y vender antivirus, en cuyo caso sí tendría justificación.Justificación malvada por supuesto.

    1. tannhausser says:

      Por lo pronto están vendiendo la base de datos de la web por unos 79 dólares (no parece gran cosa) que incluye las credenciales de usuarios de los foros de linux mint.

      https://twitter.com/0xUID/status/701432102324203521

  7. Jair LeBentz says:

    Desde hace varios meses leemos noticias de agujeros de seguridad en nuestro sistema GNU/Linux, muchos de estos problemas fueron rapidamente resueltos y no fueron realmente tan peligrosos como la prensa los ha querido hacer ver.
    Pero este sin embargo me parece un problema importante pues demuestra un gran fallo en la seguridad de la distribución más usada hoy en día.
    Ya sea por exceso de de confianza o por ingenuidad, el tener la pagina web tan desprotegida es realmente preocupante.
    Si esto lo pueden hacer unos bandidos búlgaros que no habrán hecho las agencias de seguridad o personas que quieren dañar este proyecto?

    1. portaro says:

      Amigo mio un problema más que de Mint del soporte de comparticion via web. Pero claro el tema que tocas es importante pero tiene una respuesta muy sencilla , depende de nosotros mismos, nosotros somos el sistema ya que en GNU/Linux el usuário es el fin asi que más gente mirando agujeros, códigos etc le pone las cosas malas a esos que quieran explotarlo, es la unica garantia que tenemos y la mayor – nosotros , nuestra etica y nuestra contribucion pues aqui al contrario de otros – todos contamos.

  8. pepe says:

    Y como seran los windows desatendidos que andan circulando en la red, esos si deben estar llenos de”extras”

  9. jousseph says:

    Con mi consola de comandos mejorada llamada gestor-jou podria hacer un proceso de identificar al malware detener su proceso y eliminarlo en modo superusuario.

  10. mantisfistjabn says:

    Lamentablemente ese es el precio de la popularidad. Y no debería extrañarnos que otras distros populares también sean atacadas (ojalá no y tomen precauciones de este q

  11. 9acca9 says:

    Muy buenas, una consulta sobre este tema de malwares en linux……….
    Alguien me recomendaría algún programa para correr que verifique estas cosas?? que revise también en firefox etc. digamos por las dudas. saludos y gracias

    1. carlosky77 says:

      En Linux Mint Debian (no la basada en Ubuntu que es la comprometida) aparece estas herramientas para malware al hace apt-cache search malware

      clamav-unofficial-sigs – update script for 3rd-party clamav signatures
      courier-filter-perl – purely Perl-based mail filter framework for the Courier MTA
      libcgi-formalware-perl – Perl module for converting an XML file into a suite of CGI forms
      neopi – web shell code detection
      pyew – Python tool like radare or *iew for malware analysis
      python-pefile – Portable Executable (PE) parsing module for Python
      libyara-dev – help to identify and classify malwares (development files)
      libyara3 – help to identify and classify malwares (shared library)
      python-yara – help to identify and classify malwares (Python bindings)
      python3-yara – help to identify and classify malwares (Python 3 bindings)
      yara – help to identify and classify malwares

      Ahora puedes usar antivirus para Linux (de pago y sin acceso al source) y ver la comparativa

      https://www.av-test.org/es/pdfnews/253

      Si tuviera que elegir, sería karpesky endpoint security (ojo, hay 2 versiones de kaspersky) en la cual tiene una detección del 100% de malware para Linux y 96,3% para winbugs. ¿Por que el mejor?? porque es el único que detecta el 100% en Linux y con un porcentaje cercano para windows (y además, quién le interesa esta puerta trasera… perdón, ventana trasera).

  12. 4ng3l says:

    Normalmente descargo Mint desde torrents y compruebo el MD5. Sin embargo, ya sabes Replicante, que no suele ser lo habitual.

    1. tannhausser says:

      Hasta la persona que realizó el ataque lo reconoce, no sabe para que se tomó la molestia de modificarlos XD

      “Who the f**k checks those anyway?”

      http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-linux-mint-backdoor/

      Al final lo más seguro es comprobar la validez de la firma de verificación mediante GPG, pero tampoco es algo al alcance de todos los usuarios

Deja un comentario