Backdoor “Plague” en Linux: Un Año Oculto Aprovechando Módulos PAM Maliciosos

Introducción

Un nuevo backdoor dirigido a sistemas Linux, identificado como “Plague”, ha sido descubierto tras permanecer indetectado durante aproximadamente un año. La amenaza, detallada por el investigador Pierre-Henri Pezier de Nextron Systems, se basa en la manipulación de los módulos PAM (Pluggable Authentication Modules), permitiendo a los atacantes eludir los mecanismos de autenticación y obtener acceso persistente mediante SSH. Este hallazgo subraya la creciente sofisticación de las amenazas dirigidas a entornos Linux, que históricamente han sido percibidos como más seguros frente a Windows, pero que en la actualidad son un objetivo prioritario para grupos de amenazas avanzadas.

Contexto del Incidente o Vulnerabilidad

El backdoor Plague fue detectado en sistemas de producción donde, a pesar de las medidas de seguridad y las soluciones EDR (Endpoint Detection and Response) desplegadas, no se había identificado ninguna actividad anómala durante un año. A diferencia de otras amenazas, Plague no se distribuye mediante campañas masivas, sino que parece estar dirigido a objetivos concretos, posiblemente con motivación APT (Amenaza Persistente Avanzada).

El vector de ataque principal consiste en la sustitución o modificación de un módulo PAM legítimo, integrando un implante malicioso que se mantiene oculto mediante técnicas de ofuscación y manipulación de logs, dificultando su detección incluso por parte de soluciones de monitorización avanzada.

Detalles Técnicos

Plague se implementa como un módulo PAM personalizado, generalmente insertado en rutas críticas como `/lib/security/` o `/usr/lib64/security/`. El implante, de tamaño reducido y código altamente ofuscado, intercepta las credenciales de autenticación SSH y permite el acceso silencioso siempre que se emplea una contraseña “master” conocida solo por los atacantes.

CVE y TTPs

Hasta el momento, Plague no tiene un CVE asignado, ya que no explota una vulnerabilidad específica del software, sino una debilidad en la cadena de confianza y la administración de los módulos PAM. Según la matriz MITRE ATT&CK, la amenaza se alinea con técnicas como:

– T1055 (Process Injection): Modificación de la autenticación del sistema.
– T1078 (Valid Accounts): Uso de credenciales válidas y backdoors.
– T1098 (Account Manipulation): Modificación y abuso de mecanismos de autenticación.

Indicadores de Compromiso (IoC)

Entre los IoC identificados destacan:

– Presencia de archivos PAM no estándar o recientemente modificados.
– Logs de autenticación manipulados o truncados.
– Accesos SSH desde direcciones IP anómalas, especialmente fuera de horario administrativo.
– Cadenas de texto o hashes asociados al implante en análisis forense de disco.

Herramientas y Frameworks

Aunque no se ha detectado el uso de frameworks como Metasploit o Cobalt Strike en la implantación de Plague, existe la posibilidad de que el implante sea desplegado tras una intrusión inicial mediante herramientas personalizadas o scripts automatizados.

Impacto y Riesgos

El impacto de Plague es significativo, ya que permite a los atacantes acceso persistente sin generar alertas en la mayoría de soluciones SIEM y EDR convencionales. Las consecuencias incluyen:

– Exfiltración de datos sensibles.
– Persistencia a largo plazo para movimientos laterales y escalada de privilegios.
– Compromiso de la cadena de suministro en entornos DevOps y servidores críticos.
– Incumplimiento de normativas como GDPR y NIS2, con posibles sanciones económicas (multas de hasta el 4% del volumen de negocio global anual según GDPR).

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de Plague y amenazas similares, se recomienda:

– Auditoría exhaustiva y periódica de los módulos PAM instalados y sus hashes.
– Implementación de monitorización de integridad de ficheros (FIM) sobre `/lib/security/` y `/usr/lib64/security/`.
– Uso de autenticación multifactor (MFA) para SSH, minimizando la efectividad de backdoors basados en contraseñas.
– Revisión de logs de autenticación en busca de inconsistencias o manipulaciones.
– Despliegue de soluciones EDR con capacidades avanzadas de detección de anomalías en procesos nativos de Linux.
– Segmentación de redes y restricción de accesos SSH únicamente a IPs autorizadas y mediante túneles VPN.

Opinión de Expertos

Según Pierre-Henri Pezier, “Plague es un ejemplo de cómo los atacantes están adoptando técnicas menos ruidosas y más sofisticadas para evadir la detección en sistemas Linux. La manipulación de PAM, al estar tan cerca del núcleo de autenticación del sistema, supone un reto técnico considerable para los equipos de seguridad”. Otros expertos advierten que el uso de backdoors PAM es una tendencia al alza, especialmente en ataques dirigidos contra infraestructuras cloud y sistemas críticos en sectores como finanzas y telecomunicaciones.

Implicaciones para Empresas y Usuarios

Para las empresas, la aparición de Plague resalta la necesidad de revisar los procesos de hardening y monitorización en sistemas Linux, especialmente aquellos expuestos a Internet o con acceso privilegiado. El impacto reputacional y legal derivado de una intrusión prolongada puede ser devastador, especialmente bajo el marco regulatorio de GDPR y NIS2.

Los usuarios y administradores deben extremar las precauciones al instalar o actualizar software relacionado con la autenticación, asegurando la procedencia y la integridad de los paquetes.

Conclusiones

El descubrimiento de Plague pone de manifiesto la sofisticación y persistencia de las amenazas actuales en entornos Linux. La manipulación de PAM como vector de acceso subraya la importancia de la vigilancia proactiva, la actualización constante de las herramientas de seguridad y la concienciación sobre técnicas avanzadas de ataque. Solo mediante una aproximación holística y técnicas de defensa en profundidad es posible reducir la superficie de ataque y responder eficazmente a este tipo de amenazas.

(Fuente: feeds.feedburner.com)