今週は、お客様がIPフェイルオーバーを設定する際に使用する当社ツール「Lelastic」に確認されたセキュリティ脆弱性と、アジア地域の教育システムを狙ったと見られるLinuxベースの新たなマルウェアについてご紹介します。
弾力的な脆弱性
Linodeが開発したフェイルオーバーの設定を簡単にするツールであるlelasticにセキュリティ上の脆弱性が確認されました。フェイルオーバーとは、プライマリシステムが利用できなくなった場合に、バックアップシステムにトラフィックを迂回させるという概念です。Linodeのコンピュートインスタンスは、IP共有機能を通じてフェイルオーバーをサポートしています。
この脆弱性は、組み込みの gRPC サーバーが意図せずに公衆インターネットに公開されてしまうことに起因しています。v0.0.6 以前のバージョンでは、このツールは TCP ポート 50051 を介して、すべてのネットワークインターフェースとアドレスの gRPC リクエストを受け付けました。攻撃者は、この脆弱性を利用して、影響を受ける Linode 上の bgp 設定を管理することができます。Linode がファイアウォールで保護され、このポートが閉じられている場合、この脆弱性は悪用されません。この脅威を軽減するために、この脆弱性の影響を受けた可能性があると思われるお客様に連絡を取りました。現在、この脆弱性が悪用された事例は確認されていません。
Linodeを保護するには、lelasticツールを最新バージョン(現在v0.0.6)にアップグレードしてください。すぐにアップグレードできない場合は、LinodeCloud FirewallまたはLinode上で動作するファイアウォールを使用して、50051番ポートへのパブリックアクセスを制限することもできます。
さらにサポートが必要な場合、または質問がある場合は、遠慮なく support@linode.com までご連絡ください。
パンチャン
最近、Akamai Technologiesのセキュリティ研究者によって、2022年3月からLinuxサーバーを標的にしていると思われる新しいマルウェアが発見されました。このマルウェアの中核は、コマンド&コントロール用の TCP ピアツーピア クラスのボットネットと、接続されたシステムに侵入して感染させるためのブルートフォースアルゴリズムとともに、ターゲット検出用のknown_hosts ファイルを利用する高度な SSH ワームで構成されています。Panchanはgolangで書かれており、メモリマップドファイルで2つの暗号化プログラム(xmrigとnbhash)を実行することにより、その動機を達成するように見えます。このバイナリは、メインの実行ファイル自体の中でbase64エンコードされており、その後、実行時にデコードされて実行されます。また、topや htopを検出するとマイナーのプロセスを終了させ、正規のsystemdサービスやバイナリを模倣します。
Panchan の存在を検出するために使用できる特定のテクニックがまだあります。管理者は、アカマイが共有するこのgithub リポジトリを参照することができます。このリポジトリには、IoC のリストと、Panchan に関連する技術を検出するために使用することができるスクリプトが含まれています。Panchan のような脅威から身を守るには、多要素認証や監視の冗長性といった技術を活用した徹底的な防御戦略を採用することをお勧めします。
マルウェアの詳細な分析については、本レポートをご参照ください。
コメント