Diese Woche sprechen wir über eine Sicherheitslücke in unserem Lelastic-Tool, das von unseren Kunden zur Konfiguration von IP-Failover verwendet wird, sowie über eine neue Linux-basierte Malware, die es offenbar auf Bildungssysteme in Asien abgesehen hat.
Lelastische Anfälligkeit
In lelastic, einem von Linode entwickelten Tool, das die Konfiguration von Failover vereinfacht, wurde eine Sicherheitslücke entdeckt. Failover ist das Konzept der Umleitung des Datenverkehrs auf ein Backup-System, wenn das primäre System nicht mehr verfügbar ist. Linode-Compute-Instanzen unterstützen Failover durch unsere IP Sharing Funktion.
Die Schwachstelle rührt von einem integrierten gRPC-Server her, der unbeabsichtigt dem öffentlichen Internet ausgesetzt ist. In Versionen vor v0.0.6 akzeptierte das Tool gRPC-Anfragen auf allen Netzwerkschnittstellen und -adressen über den TCP-Port 50051. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, um die bgp-Konfiguration auf der betroffenen Linode zu verwalten. Diese Schwachstelle kann nicht ausgenutzt werden, wenn Ihre Linode durch eine Firewall geschützt ist und dieser Port geschlossen ist. Um diese Bedrohung zu entschärfen, haben wir uns an unsere Kunden gewandt, von denen wir glauben, dass sie von dieser Sicherheitslücke betroffen sein könnten. Wir haben bisher keine Fälle von aktiver Ausnutzung beobachtet.
Um Ihre Linode zu schützen, aktualisieren Sie das Lelastic-Tool auf die neueste Version, derzeit v0.0.6. Wenn Sie nicht in der Lage sind, sofort zu aktualisieren, können Sie auch den öffentlichen Zugang zu Port 50051 mit Linode Cloud Firewall oder einer Firewall auf Ihrer Linode einschränken.
Wenn Sie weitere Unterstützung benötigen oder Fragen haben, zögern Sie bitte nicht, sich an support@linode.com zu wenden.
Panchan
Die Sicherheitsforscher von Akamai Technologies haben kürzlich eine neue Malware entdeckt, die seit März 2022 auf Linux-Server abzielt. Im Kern besteht sie aus einem TCP-Botnet der Peer-to-Peer-Klasse für Command-and-Control-Zwecke und einem ausgeklügelten SSH-Wurm, der die Datei known_hosts für die Zielerfassung zusammen mit einem Brute-Forcing-Algorithmus nutzt, um in verbundene Systeme einzudringen und sie zu infizieren. Panchan, der in Golang geschrieben wurde, scheint sein Ziel zu erreichen, indem er zwei Kryptominers - xmrig und nbhash - in Memory-Mapped-Dateien ausführt. Die Binärdateien sind in der ausführbaren Hauptdatei selbst mit base64 kodiert, die dann dekodiert und zur Laufzeit ausgeführt werden. Dies geschieht höchstwahrscheinlich, um eine Entdeckung zu vermeiden. Panchan unternimmt eine beträchtliche Anzahl von Schritten, um dies zu gewährleisten; außerdem werden die Miner-Prozesse bei Erkennung von top und htop beendet und legitime systemd-Dienste und -Binärdateien imitiert.
Es gibt immer noch bestimmte Techniken, die verwendet werden können, um das Vorhandensein von Panchan zu erkennen. Administratoren können sich auf dieses von Akamai freigegebene Github-Repository beziehen, das eine Liste von IoCs und ein Skript enthält, das zur Erkennung von mit Panchan verbundenen Techniken verwendet werden kann. Um sich gegen eine Bedrohung wie Panchan zu schützen, empfehlen wir eine "Defense-in-Depth"-Strategie, die Technologien wie Multi-Faktor-Authentifizierung und Redundanz bei der Überwachung nutzt.
Eine eingehende Analyse der Malware finden Sie in diesem Bericht.
Kommentare