Cette semaine, nous parlerons d'une vulnérabilité de sécurité identifiée dans notre outil Lelastic, qui est utilisé par nos clients pour configurer le basculement IP, et d'un nouveau logiciel malveillant basé sur Linux qui semble cibler les systèmes éducatifs dans la région Asie.
Vulnérabilité élastique
Une faille de sécurité a été identifiée dans lelastic, un outil développé par Linode qui simplifie la configuration du basculement. Le basculement est le concept de réacheminement du trafic vers un système de secours si le système principal devient indisponible. Les instances Linode Compute prennent en charge le basculement grâce à notre fonction de partage d'IP.
La vulnérabilité provient d'un serveur gRPC intégré involontairement exposé à l'Internet public. Dans les versions antérieures à la v0.0.6, l'outil acceptait les requêtes gRPC sur toutes les interfaces et adresses réseau via le port TCP 50051. Un attaquant pourrait exploiter cette vulnérabilité pour gérer la configuration bgp sur le Linode affecté. Cette vulnérabilité n'est pas exploitable si votre Linode est protégé par un pare-feu et que ce port est fermé. Pour atténuer cette menace, nous avons contacté nos clients qui, selon nous, auraient pu être affectés par cette vulnérabilité. Nous n'avons observé aucun cas d'exploitation active jusqu'à présent.
Pour protéger votre Linode, mettez à jour l'outil lelastic avec la dernière version, actuellement v0.0.6. Si vous n'êtes pas en mesure d'effectuer la mise à niveau immédiatement, vous pouvez également restreindre l'accès public au port 50051 à l'aide de Linode Cloud Firewall ou d'un pare-feu fonctionnant sur votre Linode.
Si vous avez besoin d'une assistance supplémentaire ou si vous avez des questions, n'hésitez pas à contacter support@linode.com.
Panchan
Les chercheurs en sécurité d'Akamai Technologies ont récemment découvert un nouveau logiciel malveillant qui semble cibler les serveurs Linux depuis mars 2022. Il se compose essentiellement d'un botnet TCP de classe peer-to-peer pour la commande et le contrôle et d'un ver SSH sophistiqué qui exploite le fichier known_hosts pour la découverte des cibles ainsi qu'un algorithme de force brute pour pénétrer dans les systèmes connectés et les infecter. Panchan, écrit en golang, semble atteindre son objectif en exécutant deux cryptomineurs - xmrig et nbhash - dans des fichiers mappés en mémoire. Les binaires sont codés en base64 dans l'exécutable principal, qui est ensuite décodé et exécuté en cours d'exécution. Panchan prend un nombre considérable de mesures pour s'en assurer. Il met également fin aux processus de minage en cas de détection de top et htop et imite des services et des binaires systemd légitimes.
Il existe encore certaines techniques qui peuvent être utilisées pour détecter la présence de Panchan. Les administrateurs peuvent se référer à ce dépôt github partagé par Akamai qui contient une liste d'IoC et un script qui peut être utilisé pour détecter les techniques liées à Panchan. Pour se défendre contre une menace telle que Panchan, nous recommandons d'adopter une stratégie de défense en profondeur qui exploite des technologies telles que l'authentification à plusieurs facteurs et la redondance dans la surveillance.
Pour une analyse approfondie des logiciels malveillants, veuillez vous référer à ce rapport.
Commentaires