이번 주에는 고객이 IP 장애 조치를 구성하는 데 사용하는 Lelastic 도구에서 확인된 보안 취약점과 아시아 지역의 교육 시스템을 대상으로 하는 것으로 보이는 새로운 Linux 기반 맬웨어에 대해 설명합니다.
탄력적 취약성
보안 취약점은 장애 조치의 구성을 단순화하는 Linode가 구축한 도구인 lelastic에서 확인되었습니다. 장애 조치(failover)는 기본 시스템을 사용할 수 없게 될 경우 트래픽을 백업 시스템으로 다시 라우팅하는 개념입니다. Linode Compute 인스턴스는 IP 공유 기능을 통해 장애 조치를 지원합니다.
이 취약점은 공용 인터넷에 의도치 않게 노출된 기본 제공 gRPC 서버에서 비롯됩니다. v0.0.6 이전 버전에서는 이 도구가 TCP 포트 50051을 통해 모든 네트워크 인터페이스 및 주소에서 gRPC 요청을 수락했습니다. 공격자는 이 취약점을 활용하여 영향을 받는 Linode의 bgp 구성을 관리할 수 있습니다. 이 취약점은 Linode가 방화벽에 의해 보호되고 이 포트가 닫힌 경우 악용될 수 없습니다. 이러한 위협을 완화하기 위해 당사는 이 취약점의 영향을 받을 수 있다고 생각하는 고객에게 연락했습니다. 우리는 지금까지 적극적인 착취 사례를 관찰하지 못했습니다.
리노드를 보호하려면 lelastic 도구를 최신 버전(현재 v0.0.6)으로 업그레이드하세요. 즉시 업그레이드할 수 없는 경우, 리노드 Cloud Firewall 또는 리노드에서 실행 중인 방화벽을 사용하여 포트 50051에 대한 공개 액세스를 제한할 수도 있습니다.
추가 지원이 필요하거나 질문이 있으시면 주저하지 말고 support@linode.com 에게 연락하십시오.
판찬
최근 Akamai Technologies의 보안 연구원에 의해 2022년 3월부터 Linux 서버를 대상으로 하는 것으로 보이는 새로운 멀웨어가 발견되었습니다. 핵심은 명령 및 제어를 위한 TCP 피어 투 피어 클래스 봇넷과 대상 검색을 위해 known_hosts 파일을 활용하는 정교한 SSH 웜과 연결된 시스템에 침투하여 감염시키는 무차별 강제 알고리즘으로 구성됩니다. 골랑으로 작성된 Panchan은 메모리 매핑 된 파일에서 xmrig와 nbhash라는 두 개의 크립토 마이너를 실행하여 동기를 달성하는 것으로 보입니다. 바이너리는 기본 실행 파일 자체 내에서 base64로 인코딩되어 런타임에 디코딩되고 실행됩니다. 이것은 탐지를 피하기 위해 수행 될 가능성이 가장 높으며, Panchan이 보장하기 위해 상당한 수의 단계를 거칩니다. 또한 top 및 htop을 감지하면 광부 프로세스를 종료하고 합법적 인 시스템 서비스 및 바이너리를 모방합니다.
Panchan의 존재를 감지하는 데 사용할 수있는 특정 기술이 여전히 있습니다. 관리자는 Akamai가 공유하는 이 github 리포지토리 에 IoC 목록과 Panchan에 연결된 기술을 감지하는 데 사용할 수 있는 스크립트가 포함되어 있는 것을 참조할 수 있습니다. Panchan과 같은 위협으로부터 방어하려면 다단계 인증 및 모니터링의 중복성과 같은 기술을 활용하는 심층 방어 전략을 채택하는 것이 좋습니다.
맬웨어에 대한 심층적 인 분석은 이 보고서를 참조하십시오.
내용