La semana pasada, Microsoft anunció el descubrimiento de una nueva red de bots (botnet) que aprovecha vulnerabilidades de computadoras personales y servidores web sin actualizar con Windows y Linux. La botnet ―conocida como Sysrv-K― aprovecha vulnerabilidades para instalar mineros de criptomonedas.

De acuerdo a NHS Digital, un proveedor de tecnología del Servicio Nacional de Salud de Inglaterra, la versión original de Sysrv se descubrió por primera vez a fines de 2020. Sysrv contiene un gusano que busca sistemas que ejecutan software de acceso a Internet obsoleto para aprovechar las vulnerabilidades de seguridad sin parches. Una vez dentro, agrega al sistema recién infectado a la botnet e instala un programa que extrae energía de las máquinas infectadas para minar la criptomoneda Monero. Sysrv compromete la seguridad de las redes locales porque intentará propagarse agregando otros sistemas vecinos a la botnet. A diferencia de las versiones anteriores, Sysrv-K también puede capturar las credenciales de la base de datos, lo que le permite tomar el control de los servidores.

NHS Digital ha dicho que Sysrv es una amenaza para servidores Windows y Linux. La nueva capacidad de Sysrv-K para tomar el control de los servidores web es especialmente peligrosa para los usuarios de Linux; de acuerdo a ZDNet, más del 95% de los servidores web ejecutan Linux.

Debido a que Sysr-K elimina automáticamente los archivos de configuración del criptominero y se oculta de la lista de procesos, es difícil detectarlo. Se recomienda sistemas de monitoreo para actividades inusuales. Microsoft ha declarado que Microsoft Defender puede detectar Syrsv-K.

Debido a que Sysr-K busca fallas de seguridad que ya tienen parches publicados pero que aún no se aplican el los sistemas, una de las mejores formas de protegerse contra Sysr-K es asegurarse de que todo el software del sistema esté actualizado.

Si administra un servidor Linux con AlmaLinux™, CentOS™ Stream, Red Hat™ Enterprise Linux o Rocky™ Linux, se puede ejecutar lo siguiente para actualizar el sistema:

dnf -y update && reboot

Recomiendo activar las actualizaciones automáticas del sistema ejecutando lo siguiente:

systemctl enable --now dnf-automatic.timer

Si tienes contrato de soporte con Alcance Empresarial, puedes dormir tranquilo. Mantenemos todos los servidores al día.

Fuente: Linux Security