Linux Mint hackeado: incluye backdoors en su ISO

por | 21 febrero, 2016

linuxmint-logo

Linux Mint, una de las distribuciones GNU/Linux más populares ha sufrido una intrusión de seguridad en la que los asaltantes se han hecho temporalmente con el control de su web y han introducido puertas traseras en una de sus últimas ediciones: Linux Mint 17.3 Cinnamon.

Las buenas noticias es que el equipo liderado por Clement Lefebvre ha descubierto con rapidez la intrusión, que solo afectaría a las imágenes descargadas ayer día 20 desde su web (en el caso de las realizadas vía torrent no se verían afectadas)

Según comenta Lefebvre en el blog de la distro (y todo parece indicar que es el verdadero Clem 🙂 ), la intrusión se realizó aprovechando una debilidad en wordpress, el sistema de gestión de contenidos (CMS) sobre el que se aloja el proyecto (el hecho de no utilizar https quizás también tenga algo que ver)

Aunque se desconocen los motivos del ataque parece que existe una “conexión bulgara “ en el origen del mismo y la gente de Mint ya está en contacto con las autoridades para investigar el ataque.

El archivo infectado sería /var/lib/man.cy y el malware encargado de hacer el trabajo sucio sería un troyano Unix llamado Tsunami que se conectaría a un sitio web desde el ordenador de la victima. A partir de ahí, puede obligar al equipo a formar parte de una red de bots o interceptar sus contraseñas.

En todo caso la recomendación es obvia: cualquier instalación realizada en las últimas 24 horas con Linux Mint 17.3 está comprometida, por lo que lo más seguro es efectuar una reinstalación con una ISO limpia (o probar temporalmente con otra distro… será por posibilidades en GNU/Linux…) prestando atención a que la suma de verificación sea correcta (para más seguridad lo podéis comprobar en este link con firma GPG incluida)

6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

Algo bastante sencillo de hacer:

md5sum archivo.iso

linuxmint-checksum

En el caso de haber accedido a servicios de correo electrónico, cuentas bancarias, etc. tampoco estaría de más cambiar la contraseña de los mismos.

Para que quede todo claro, indicar que esto solo afecta a los que ayer descargaron la ISO de Linux Mint 17.3 Cinnamon y que los demás usuarios de la distro están a salvo, no viéndose afectados los repositorios que proporcionan las actualizaciones de software.

22 pensamientos en “Linux Mint hackeado: incluye backdoors en su ISO

    1. tannhausser Autor

      Pues tienes razón! tomo nota para la próxima.

      Estuve a poner lo de «sufre una intrusión» pero se me hacía demasiado largo el título, lo de «atacado» era buena opción 🙂

      Responder
    2. portaro

      Si me parece bien, el hackeo es un arte de jugar con cosas o código para que hagan algo diferente a lo que deberian hacer , creo que Tannhausser lo sabe tb, lo que pasa es que con tal cantidad de mal uso de la palabra a veces escribimos y ni damos cuenta de que no esta del todo bien usada. A mi me pasa tb y eso que tengo tremendo respecto por los hackers , más aún usando GNU/Linux sin ellos muchos más Winderos habria y no exisitiran tantas opciones. La historia le debe a ellos una gran contribución , creo yo. Asi que vivan los hackers y el hacking es inerente a todo ser humano quien nunca uso un boligrafo para tirar pepelitos con presion de aire de la boca, pues eso es hackear el boligrafo! Todos tenemos un poquito de hackers y todos nos merecemos ese respeto. Aunque Tannhausser le paso lo que a mi a veces se ve la palabra tan mal usada que terminas usandola tu mal.

      Responder
  1. Dethorin

    Para la próxima que pongan seguridad a su página, la culpa la tuvieron ellos para empezar. Ni https tienen, ¡por Dios! Que vergüenza.

    Responder
    1. portaro

      Amigo mio limosna hace falta a todos para poder dar hay que tener, no crees que con pocos fondos monetarios pagar buen soporte host puede ser un problema que ponga en causa el mismo devenir del proyecto, haz hecho alguna donacion monetaria? Si no pues todos los proyectos lo agradecen , sin dinero mucho hacen en dar sin pedir creo yo asi que usan lo que más en conta salga y mira que hacen una labor increible y eso que yo no uso Mint, pero les estoy enormemente agradecido , todos hicieramos asi y el mundo seria mucho pero mucho mejor – ayuda sin pedir nada en troca eso si es una ayuda que vale 2 , al ayudar recibes ,ese es el espiritu Linuxero.

      Responder
  2. Nicolás

    Se especificó cuántos usuarios se vieron expuestos o afectados? O Cuántas bajadas de las copias ISO
    hubo en el lapso de tiempo que duró la intrusión?

    Responder
  3. D'Artagnan

    Bueno y el tío (No digo kacker) que hizo eso ¿Que ha ganado?.Quizás estará abonando el terreno para fabricar y vender antivirus, en cuyo caso sí tendría justificación.Justificación malvada por supuesto.

    Responder
  4. Jair LeBentz

    Desde hace varios meses leemos noticias de agujeros de seguridad en nuestro sistema GNU/Linux, muchos de estos problemas fueron rapidamente resueltos y no fueron realmente tan peligrosos como la prensa los ha querido hacer ver.
    Pero este sin embargo me parece un problema importante pues demuestra un gran fallo en la seguridad de la distribución más usada hoy en día.
    Ya sea por exceso de de confianza o por ingenuidad, el tener la pagina web tan desprotegida es realmente preocupante.
    Si esto lo pueden hacer unos bandidos búlgaros que no habrán hecho las agencias de seguridad o personas que quieren dañar este proyecto?

    Responder
    1. portaro

      Amigo mio un problema más que de Mint del soporte de comparticion via web. Pero claro el tema que tocas es importante pero tiene una respuesta muy sencilla , depende de nosotros mismos, nosotros somos el sistema ya que en GNU/Linux el usuário es el fin asi que más gente mirando agujeros, códigos etc le pone las cosas malas a esos que quieran explotarlo, es la unica garantia que tenemos y la mayor – nosotros , nuestra etica y nuestra contribucion pues aqui al contrario de otros – todos contamos.

      Responder
  5. pepe

    Y como seran los windows desatendidos que andan circulando en la red, esos si deben estar llenos de»extras»

    Responder
  6. jousseph

    Con mi consola de comandos mejorada llamada gestor-jou podria hacer un proceso de identificar al malware detener su proceso y eliminarlo en modo superusuario.

    Responder
  7. mantisfistjabn

    Lamentablemente ese es el precio de la popularidad. Y no debería extrañarnos que otras distros populares también sean atacadas (ojalá no y tomen precauciones de este q

    Responder
  8. 9acca9

    Muy buenas, una consulta sobre este tema de malwares en linux……….
    Alguien me recomendaría algún programa para correr que verifique estas cosas?? que revise también en firefox etc. digamos por las dudas. saludos y gracias

    Responder
    1. carlosky77

      En Linux Mint Debian (no la basada en Ubuntu que es la comprometida) aparece estas herramientas para malware al hace apt-cache search malware

      clamav-unofficial-sigs – update script for 3rd-party clamav signatures
      courier-filter-perl – purely Perl-based mail filter framework for the Courier MTA
      libcgi-formalware-perl – Perl module for converting an XML file into a suite of CGI forms
      neopi – web shell code detection
      pyew – Python tool like radare or *iew for malware analysis
      python-pefile – Portable Executable (PE) parsing module for Python
      libyara-dev – help to identify and classify malwares (development files)
      libyara3 – help to identify and classify malwares (shared library)
      python-yara – help to identify and classify malwares (Python bindings)
      python3-yara – help to identify and classify malwares (Python 3 bindings)
      yara – help to identify and classify malwares

      Ahora puedes usar antivirus para Linux (de pago y sin acceso al source) y ver la comparativa

      https://www.av-test.org/es/pdfnews/253

      Si tuviera que elegir, sería karpesky endpoint security (ojo, hay 2 versiones de kaspersky) en la cual tiene una detección del 100% de malware para Linux y 96,3% para winbugs. ¿Por que el mejor?? porque es el único que detecta el 100% en Linux y con un porcentaje cercano para windows (y además, quién le interesa esta puerta trasera… perdón, ventana trasera).

      Responder
  9. 4ng3l

    Normalmente descargo Mint desde torrents y compruebo el MD5. Sin embargo, ya sabes Replicante, que no suele ser lo habitual.

    Responder

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.