+ 35 % de malwares Linux en 2021
Le 18 janvier 2022 à 08h22
2 min
Logiciel
Logiciel
Les logiciels malveillants ciblant les systèmes Linux ont augmenté de 35 % en 2021 par rapport à 2020, révèle un rapport de Crowdstrike.
La plupart d'entre eux visent à compromettre les appareils vulnérables de l'Internet des objets (IoT), les rassembler dans des botnets et les utiliser pour effectuer des attaques par déni de service distribué (DDoS).
Plus de 30 milliards d'appareils IoT devraient être connectés à Internet d'ici la fin de 2025, créant une surface d'attaque potentiellement immense pour les menaces et les cybercriminels cherchant à créer des botnets massifs. Et ce, alors que les appareils IoT sont souvent moins sécurisés que ne le sont les smartphones et PC.
Outre les attaques DDoS, les botnets sont souvent utilisés pour relayer du spam, servir de relais ou de serveurs de commande et de contrôle, voire de points d'entrée dans les réseaux d'entreprise, précise BleepingComputer, qui revient sur les trois principaux malwares Linux.
Mirai, le plus connu à mesure qu'il connaît de nombreux forks (du fait de son code source rendu public), abuse de protocoles et de mots de passe faibles, tels que Telnet, pour compromettre les appareils à l'aide d'attaques par force brute.
XorDDoS est un cheval de Troie Linux polyvalent qui fonctionne dans plusieurs architectures système Linux, de ARM (IoT) à x64 (serveurs) qui attaque les appareils vulnérables via SSH en ciblant les serveurs Docker avec le port 2375 ouvert afin d'obtenir un accès root sans mot de passe.
Mozi est un botnet P2P qui s'appuie sur le système de recherche de table de hachage distribuée (DHT) pour masquer les communications C2 suspectes des solutions de surveillance du trafic réseau.
Ces trois malwares représenteraient 22 % des attaques de logiciels malveillants ciblant Linux observées en 2021. BleepingComputer rappelle par ailleurs qu'un rapport d'Intezer avait révélé que les familles de logiciels malveillants Linux avaient déjà augmenté de 40 % en 2020 par rapport à l'année précédente. On en dénombrait 9 en 2010, contre 56 en 2020.
Le 18 janvier 2022 à 08h22
Commentaires (35)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 18/01/2022 à 08h44
Arrêtez de colporter des nouvelles aussi affreuses.
Tout le monde sait qu’il ne peut pas y avoir des virus sur LINUX 😁
Le 18/01/2022 à 09h02
Personne n’a dit ça, par contre les distrib Linux sont bien blindées de base.
Le problème de l’IOT, comme mentionné dans l’article, c’est que le hardware est tellement verrouillé/non-standard qu’il est impossible d’assurer les màj une fois que le support constructeur est terminé (si toute fois il y avait des màj). Même problème que les téléphones.
Le 19/01/2022 à 06h39
Oui comme sous Mac OS, les virus ne touchent que Windows
Plus sérieusement, mes utilisateurs Mac OS et Linux qu me disent “mais on craint rien avec mon Linux ou mon Mac”, me gonflent.
Le 19/01/2022 à 07h47
Bah, c’est un peu vrai quand même ;)
Je suis en train de regarder mes logs apache c’est impressionnant le nombre d’attaques quand même, ça tourne beaucoup autour d’exchange quand même :
…
Le 18/01/2022 à 08h50
Prendre un vendeur de solutions de sécurité pour Linux comme source d’information sans signaler ce fait, c’est quand-même très limite !
Le 18/01/2022 à 09h58
Crowdstrike vend des solutions de sécurité pour tous les OS (endpoint), pas uniquement Linux. Et bien qu’ils commencent seulement à pénétrer les PME, c’est quand même un mastodonte sur les grosses infrastructures.
Comment tu peux avoir d’autres stat plus fiable ? Pour suivre cette tendance au mieux, il faut la détecter, la vérifier, et quantifier, et c’est justement leur job (avec la phase blocage entre bien sûr)…
Alors on pourrait la croiser avec d’autres acteurs et faire appel a un cabinet, mais l’info n’a rien d’étonnant, elle suit la tendance des dernières années. L’IoT c’est pas ce qu’il y a de plus sécurisé la plupart du temps..
Le 18/01/2022 à 09h00
Je sais que c’est de l’ironie, mais on sait bien que sur les systèmes de merdouilles IoT à deux balles totalement inutiles donc indispensables, on trouve souvent du Linux et que c’est toujours packagé à la truelle et assorti de code aussi troué qu’une termitière, donc rien d’étonnant à ce qui arrive aujourd’hui.
Le 18/01/2022 à 09h09
Enfin un peu de reconnaissance pour Linux.
Le 18/01/2022 à 09h17
Moi ce que je lis ici, c’est que ca touche la couche applicative de certains OS qui ont Linux pour noyau, mais pas le kernel lui même (donc pas “Linux” en tant que tel.
Mirai : “abuse de protocoles et de mots de passe faibles, tels que Telnet”
XorDDoS : “attaque les appareils vulnérables via SSH en ciblant les serveurs Docker”
Mozi : “Botnet P2P qui s’appuie sur le système de recherche de table de hachage distribuée (DHT) “
Mais bon c’est logique en même temps : vu le nombre d’IoT et de brols codés avec le cul qui ont une base kernel linux, et leur developpement ultra rapide, ca ne peut qu’arriver.
Le 18/01/2022 à 09h32
je comprends pas comment il peut y avoir 1,35 virus
Le 18/01/2022 à 09h53
C’est clair, cela ne risquait pas d’être un jour le cas d’un windows embedded, heureusement rendu aux poubelles de l’histoire… puisque c’est ici l’essentiel du problème d’ailleurs bien visible via Shodan et autres.
Le 18/01/2022 à 10h18
Aïe, l’IoT, la sécurité, les mots de passe/protocoles faibles, un combo habituel.
Ça me fait repenser à ce commitstrip
J’avais déjà entendu parler de gens qui faisaient n’importe quoi avec Docker en laissant de côté la sécurité sans trop avoir creusé la question., ça semble se confirme malheureusement
Le 18/01/2022 à 10h31
ah… le FUD de Crowdstrike.
Pour ceux qui ont lu le rapport, l’augmentation des malware sur linux est due à l’attaque des hyperviseurs ESXi. Une fois l’hyperviseur compromis, les attaquants ont accès à tous les hosts… y compris donc aux hosts sous linux. voila, voila…
Le 18/01/2022 à 13h57
Tu parles de quel rapport ?
Le 18/01/2022 à 12h20
Sauf qu’au lot habituel de bricoles réseau non maintenues/configurées, s’ajoute désormais de plus en plus souvent la nécessité de leur ouvrir son LAN afin de pouvoir les utiliser: C’est la mode du périphérique local pas cher ayant tous ses services un peu évolués dans le cloud et se passant de toute passerelle locale qui assurait ce rôle (en plus de continuer à fonctionner en cas de panne FAI) mais qui nécessitait un peu d’implication de l’utilisateur.
J’appelles cela la DD (prononcer Dédé): Domotique Débilophone.
Un Cul-R-Code et hop, n’importe quel gland “digital native, born to be slave” n’ayant jamais vraiment appris ce qu’est un ordinateur y arrive, rejoignant paradoxalement Mme Michu dans son EPHAD niveau compétences.
Et au final des tétrachiées d’équipements plus maintenus au bout de 6 mois, comme avant, mais devant être ouverts sur un monde hostile pour fonctionner! Forcément, les problèmes explosent…
Le 18/01/2022 à 12h33
Ben c’est la dictature du time-to-market + prix + facilité d’utilisation + renouvellement rapide qui amène à ça aussi.
Pour moi il n’y a que peu de solution hormis l’obligation de mise à dispo du code source et de la manière de flasher les objets IOT après la fin du support - ce qui est en soi quelque chose aussi de dangereux car bien des gens ne mettrons pas à jour (bon, beaucoup auront aussi cessé d’utiliser le produit, et ceux qui le récupéreront mettront peut-être à jour…)
Le 18/01/2022 à 15h50
La mise à dispo des codes source ne changerait pas grand chose, vu la myriade de merdes IOT jetables sur le marché il n’y aurait au mieux qu’une infime partie dont le support serait repris par une communauté, et pas dit non plus vu le public visé par ces machins beaucoup fassent les mises à jour (à compter que le fabricant ai prévu cette possibilité, et que ça ne soit pas très loin au delà de la compréhension de la quasi totalité des non geeks)
Au final pour ces “trucs” l’obsolescence programmée serait limite une bonne chose, une fois terminée la période de support le bidule se bloque et devient non fonctionnel et bon à jeter, problème de sécurité réglé
Le 18/01/2022 à 13h08
Perso ce que j’aimerais savoir, c’est le nombre qui visent spécifiquement les IoT de ceux qui visent les linux desktop/server.
Logiquement je pense que ce sont les premiers les plus visé par ces malware (car plus vulnérable du a l’écrasante majorité n’étant que très peu voir jamais mis a jour).
Le 18/01/2022 à 13h45
faites comme moi,
utilisez openBSD
avec WindowMaker ;)
Le 18/01/2022 à 14h18
Crowdstrike en parlait déjà dans son rapport de fevrier-2021.
Sophos a confirmé les choses dans son rapport de novembre-2021.
Une petite recherche sur “RansomEXX” et “ESXi” montre la popularité en 2021 :)
Le 19/01/2022 à 14h49
J’entends bien mais sur les liens de la news je vois rien concernant ESXi. Donc je pige pas.
Ouch.
Le 18/01/2022 à 19h13
nos deux méthodes sont pas incompatible…
Le 18/01/2022 à 20h19
Pluzun, il est évident qu’ils vont prêcher pour leur paroisse donc une source aussi orientée devrait être explicitement signalée par l’article..
Le 18/01/2022 à 20h34
Finalement vous êtes bien confiant.
Looking at just one source of potential kernel security flaws, the syzkaller dashboard shows the number of open bugs is currently approaching 900 and growing by about 100 a year, even with about 400 a year being fixed.
Google peut vous ramener vers la triste réalité de ce beau monde où chacun défend sa distribution
Lisez ce blog de Google kernel done right
Le 18/01/2022 à 20h42
Google a besoin d’aide, le mot de la fin fait réfléchir…
Don’t wait another minute
If you’re not using the latest kernel, you don’t have the most recently added security defenses (including bug fixes). In the face of newly discovered flaws, this leaves systems less secure than they could have been. Even when mediated by careful system design, proper threat modeling, and other standard security practices, the magnitude of risk grows quickly over time, leaving vendors to do the calculus of determining how old a kernel they can tolerate exposing users to. Unless the answer is “just abandon our users,” engineering resources must be focused upstream on closing the gap by continuously deploying the latest kernel release.
Based on our most conservative estimates, the Linux kernel and its toolchains are currently underinvested by at least 100 engineers, so it’s up to everyone to bring their developer talent together upstream. This is the only solution that will ensure a balance of security at reasonable long-term cost.
Le 19/01/2022 à 12h18
Ben c’est vrai. Déjà il y a 5 ans ou 10 ans (et plus) certains disaient “Linux n’est pas plus sûr à utiliser”, eh bien en 2022 c’est toujours le cas. La probabilité d’avoir un problème avec un PC sous Linux est extrêmement faible.
Peu importe que ce soit lié ou pas au fait que Linux n’est pas majoritaire, l’intelligence (ou la rationalité) voudrait qu’on n’utilise pas Windows ; Mac au minimum, et probablement Linux encore mieux.
Le 19/01/2022 à 15h21
Le sens de mon post était qu’aucun système n’a été, n’est et ne sera infaillible; que les utilisateurs non informaticiens m’affirment que leur OS est invulnérable au malware, ça me gonfle.
Certes, un poste utilisateur sous Linux a peu de chance de se faire attaquer : je dis bien attaquer, pas défoncer, un poste sous Linux, ben il est comme les autres OS, avec des vulnérabilités qui sont découvertes au fur et fur sur que le temps passe. Le seul truc c’est que les vulnérabilités linux, les pirates s’intéressent pour le moment aux serveurs, pas aux postes clients. Passe tous les pc de l’administration, des grandes boites et des hôpitaux en Linux, et on verra si des malware n’apparaissent pas sur les postes clients. Linux Mac ou win restera toujours le PFH (Putain de Facteur Humain).
En attendant sur mon réseau WIN /Mac / Linux de 400 pc, j’ai extrêmement rarement un virus, même sur les Windows. Et depuis 2 ans, je ne crois pas avoir eu autre chose que des adware (sur Mac et Win)
Voir au dessus.
Bien sur qu’une serveur exhange ça passe son temps à se faire attaquer :)
Et par exemple un service sous Linux comme Apache, non? bisous Log4Shell :)
Les serveurs web au boulot sont tous sous Linux et sont attaqués ultra régulièrement.
Le 19/01/2022 à 12h19
En pratique, c’est pas tellement le kernel qui a des failles exploitables, ce sont plutôt les applications, et les codes/applications qui tournent en serveur Web.
Le 19/01/2022 à 17h43
Je dirais plutôt que l’intelligence voudrait qu’on n’ait pas un niveau de privilèges supérieur à ce qui est requis pour la tâche demandée.
Il y a eu à ce sujet des progrès considérables dans le monde MS pour le particulier, il me semble. Sous 95 ou 98, tout le monde était admin.
Une popup te disant qu’un programme veut modifier des paramètres système, c’est peut-être insuffisant, mais c’est déjà ça. Sous Android (distribution Linux), j’installe toutes les merdes disponibles sans plus de précautions que la liste des autorisations demandées à accepter. J’ai comme envie de dire match nul. En insistant bien sur nul.
Le 19/01/2022 à 22h24
Ben rien qu’avec la Gendarmerie on peut avoir une idée. Et à mon avis ils sont assez tranquilles.
Ben depuis cette époque, les OS de Microsoft restent quand même très vulnérables.
Et les effets secondaires même quand on n’est pas sous Windows, c’est par exemple le RSSI qui veut qu’on soumette à un antivirus un backup de PDF produit par une application sous Linux
C’est même plus fort que ça et c’est en ce moment là où je bosse, le RSSI veut qu’on passe par un poste Windows avec un antivirus pour un backup chiffré de PDF, le contexte étant qu’on bascule une prod de datacenter.
Carrément pas d’accord.
Je parie mon PEL que jamais mon PC Linux ne sera compromis. Pour info j’ai même activé le NAT de tous les ports possibles sur ma box vers ce PC (tout le temps allumé, j’aime pouvoir y accéder). J’ai ouvert tous les ports sur la box car je ne veux pas être emmerdé si je lance un programme en écoute non locale.
La PME que je connais qui est entièrement sous Linux dort sur ses 2 oreilles aussi.
Le 20/01/2022 à 07h49
Je n’ai pas un server exchange, c’est juste mon PC fixe qui fait tourner un apache pour mes bidouilles locales et sur lequel j’ai ouvert un port et un vhost public pour quelques bricoles.
Bref c’est des parcs de PC zombis qui scannent tout sans même se rendre compte que si apache répond, il y’a peu de chance que la faille exchange fonctionne sur ce port :-o
Concernant log4j je ne suis pas du tout concerné ! Apache, n’est pas Apache Tomcat ! D’ailleurs ça doit bien faire 10ans que cette daube de Java est désinstallée. ;)
Ça fait 20ans que je suis sous linux, je me suis fait hacké une unique fois : par brut force de mon mot de passe root sur SSH (il faut être motivé quand même, l’attaque a pris des années depuis un botnet venant de pleins d’IP différentes). je m’en suis rendu compte quand internet c’est mis à rammer et que ma freebox v4 s’est transformée en guirlande de Noël. J’ai simplement coupé SSH, changer de mot de passe et ai bloqué désactivé l’accès par mot de passe sur root de SSH (Facteur humain : ce n’est pas par défaut, je l’avais changé sans jamais le remette ni fermer le nat du port 22 :-) ).
Le 20/01/2022 à 08h28
Là tu compares un OS desktop avec un OS smartphone.
Le 20/01/2022 à 10h18
Je dis que c’est pas le fait d’utiliser un noyau plutôt qu’un autre qui met à l’abri des bêtises, comme donner beaucoup de privilèges à l’utilisateur.
Le 20/01/2022 à 09h42
Crache pas dans la soupe ! Une partie de mon activité en ce moment, c’est intégrer un antivirus à une image de postes clients sous Suse qui n’ont aucun accès à Internet
TON PC. Mais le PC oublié dans un coin d’une archi d’une appli qui ne fait jamais parler d’elle… notamment parce qu’on a une confiance excessive dans le fait que ce PC n’est pas le maillon faible, je miserais pas mon slip. Et c’est pas des vulns comme log4j qui rassurent.
Le 20/01/2022 à 14h54
Si c’est clamaAVt que tu intègres, j’espère qu’il y a beaucoup de mémoire sur le PC. Je l’ai désactivé après m’être rendu compte qu’il était responsable de plantages à cause de sa conso mémoire. En plus, je l’avais mis plus pour le fun que par utilité.