GTFOBins / GitHub
Si bien la mayoría de los comentaristas consideran que Linux y el gran ecosistema de Unix son mucho más seguros en su conjunto que otras plataformas tecnológicas, una lista en GitHub difiere. Un proyecto con el nombre de GTFOBins ha estado recopilando los nombres de binarios de Unix legítimos de los que los atacantes pueden abusar para escapar a un shell restringido o elevar privilegios. Como sugiere el nombre, todos estos binarios se pueden usar para salir de sus operaciones habituales y convertirse en algo que le da al atacante la capacidad de hacer algo nefasto con una máquina comprometida.
En el verdadero espíritu del desarrollo de código abierto, GTFOBins es un proyecto compartido y cualquiera puede aportar binarios adicionales a la lista, así como nuevas técnicas que podrían usarse para hacer un mal uso de los que ya están en la lista de nuevas formas. Esta idea seguramente se volverá popular, ya que cada vez que estos exploits puedan ser detectados antes de que los atacantes intenten usarlos, los administradores del sistema sabrán qué buscar si alguien lo hace.
La mayoría de los comandos enumerados en la última confirmación de GTFOBins son los que es probable que los usuarios experimentados de Linux vean a diario. Aquellos que trabajan con el proyecto han informado usos potencialmente inseguros para binarios generalmente seguros como awk, bash y tar.
Algunas de estas vulnerabilidades, como las que involucran a los populares editores de texto vi y emacs, hacen uso de la capacidad natural de ciertas piezas de software para leer y escribir archivos. Otros hacen uso del hecho de que Python y Ruby pueden ofrecer un shell de programación interactivo y las aplicaciones de red como sftp pueden usarse incorrectamente para descargar archivos desde una ubicación remota a un sistema de archivos local.
No se espera que ninguno de los exploits enumerados envíe ondas de choque a través del mundo de la seguridad de Linux, y algunos como la capacidad de descargar otros binarios con wget se conocen bien durante años. El proyecto LOLBins de que el repositorio se inspiró en enumera innumerables exploits más para Windows, lo que parece indicar que ciertamente hay menos exploits por diseño.
Sin embargo, es importante tener en cuenta que el proyecto GTFOBins solo se remonta al 21 de mayo. La reformulación y aclaración de algunos exploits son tan recientes como hace unas horas en el momento de escribir este artículo. Debería ser interesante ver si algún script popular recibe actualizaciones para evitar que los atacantes eludan las restricciones de seguridad utilizando los métodos sobre los que advierte este repositorio.
Etiquetas Seguridad de Linux
