Estas aquiContenido / ISP británico detecta y contiene ataque basado en el bug del kernel linux
ISP británico detecta y contiene ataque basado en el bug del kernel linux
Según acaba de informar The Register, los atacantes aprovecharon el reciente bug en el kernel linux para modificar las páginas de inicio de algunos clientes del proveedor británico de Internet Claranet.
Al parecer Claranet detectó la ejecución del exploit en su plataforma de hosting compartido a la 18 horas del martes, y a los diez minutos ya había contenido la actividad maliciosa y bloqueado su plataforma para prevenir mayores daños. Hacia las 10 de la mañana del miércoles la plataforma estaba totalmente parcheada y hacia el mediodía los sitios afectados (sobre un 1% del total) se habían revertido a su estado original.
Etiquetas
Pase que no se enteraran hasta el lunes, por aquello de que el "exploit" apareció el sábado, pero el lunes como muy tarde tendrían que haberlo cerrado.
Alguien serio habría parcheado el kernel el viernes, cuando salió el "update".
A ver, si hubiera pasado esto mismo con un servidor Windows, los talibanes de Linux le hubieran hechado la culpa al sistema operativo, pero como se trata de linux, la culpa es del bobo que no aplicó los parches a tiempo.
Cada vez me gusta mas Linux, los que son insoportables son sus defensores.
¿Un bug en linux? ¿Qué bug? Yo no veo ningún bug. Si yo ya tenía a todos los usuarios dentro del grupo "wheel".
Entiendo la postura de parchear lo más rápidamente posible ante una vulnerabilidad crítica. Tal y como es esta. Pero en un sitio productivo con muchos clientes que luego te pueden pedir responsabilidades (SLA's, etc.), simplemente no puedes hacerlo.
Primero se ha de comprobar que todo lo que ofreces a tus clientes sigue funcionando sin problemas después del parche y luego planificar los reboots de las máquinas para que no afecte al servicio. O afecte lo mínimo.
No creo correcta la política de M$ de sacar los parches sólo el primer martes de cada mes para que 'los administradores de sistemas puedan planificar sus parches'. Pero planificar y aplicar un parche crítico en 24h según el tamaño del site o el número de clientes afectados, no es una mala marca.
Pensaba que este fallo solamente se podía explotar en local, o por un usuario con cuenta en la máquina, por lo que era una vulnerabilidad "menos crítica" nivel 2 según Secunia. Supongo que el ISP sabrá el "usuario" que ha lanzado el exploit para hacerse con los privilegios de root.
Un saludo, Fernando Acero