Esta semana, hablaremos de una vulnerabilidad de seguridad identificada en nuestra herramienta Lelastic, que es utilizada por nuestros clientes para configurar la conmutación por error de IP, y de un nuevo malware basado en Linux que parece dirigirse a los sistemas educativos de la región de Asia.
Vulnerabilidad Lelástica
Se ha identificado una vulnerabilidad de seguridad en lelastic, una herramienta creada por Linode que simplifica la configuración de la conmutación por error. La conmutación por error es el concepto de redirigir el tráfico a un sistema de reserva en caso de que el sistema principal no esté disponible. Linode Las instancias de computación soportan la conmutación por error a través de nuestra función de IP compartida.
La vulnerabilidad proviene de un servidor gRPC integrado expuesto involuntariamente a la Internet pública. En versiones anteriores a la v0.0.6, la herramienta aceptaba peticiones gRPC en todas las interfaces y direcciones de red a través del puerto TCP 50051. Un atacante podría aprovechar esta vulnerabilidad para gestionar la configuración de bgp en el Linode afectado. Esta vulnerabilidad no es explotable si su Linode está protegido por un firewall y este puerto está cerrado. Para mitigar esta amenaza, nos pusimos en contacto con nuestros clientes que creemos que podrían haberse visto afectados por esta vulnerabilidad. Hasta ahora no hemos observado ningún caso de explotación activa.
Para proteger su Linode, actualice la herramienta lelastic a la última versión, actualmente v0.0.6. Si no puedes actualizar inmediatamente, también puedes restringir el acceso público al puerto 50051 usando Linode Cloud Firewall o un cortafuegos que se ejecute en su Linode.
Si necesitas más ayuda o tienes alguna pregunta, no dudes en ponerte en contacto con support@linode.com.
Panchan
Los investigadores de seguridad de Akamai Technologies han descubierto recientemente un nuevo malware que parece dirigirse a los servidores Linux desde marzo de 2022. En su núcleo, consiste en una red de bots de clase TCP peer-to-peer para el comando y control y un sofisticado gusano SSH que aprovecha el archivo known_hosts para el descubrimiento de objetivos junto con un algoritmo de fuerza bruta para penetrar e infectar los sistemas conectados. Panchan, escrito en golang, parece lograr su objetivo ejecutando dos criptomineros - xmrig y nbhash - en archivos mapeados en memoria. Los binarios están codificados en base64 dentro del propio ejecutable principal, que luego se decodifica y ejecuta en tiempo de ejecución. Lo más probable es que esto se haga para evitar la detección, algo que Panchan toma un número considerable de medidas para asegurar; también termina los procesos del minero al detectar top y htop e imita los servicios y binarios legítimos de systemd .
Todavía hay ciertas técnicas que se pueden utilizar para detectar la presencia de Panchan. Los administradores pueden consultar este repositorio de github compartido por Akamai que contiene una lista de IoCs y un script que puede utilizarse para detectar técnicas vinculadas a Panchan. Para defenderse de una amenaza como Panchan, recomendamos adoptar una estrategia de defensa en profundidad que aproveche tecnologías como la autenticación multifactor y la redundancia en la monitorización.
Para un análisis en profundidad del malware, consulte este informe.
Comentarios