Esta semana, falaremos sobre uma vulnerabilidade de segurança identificada em nossa ferramenta Lelastic, que é utilizada por nossos clientes para configurar o failover IP, e um novo malware baseado em Linux que parece estar visando os sistemas educacionais na região da Ásia.
Vulnerabilidade elástica
Foi identificada uma vulnerabilidade de segurança em lelastic, uma ferramenta construída pela Linode que simplifica a configuração do failover. O failover é o conceito de redirecionamento do tráfego para um sistema de backup caso o sistema primário fique indisponível. As instâncias da Linode Compute suportam o failover através de nosso recurso de compartilhamento de IP.
A vulnerabilidade deriva de um servidor gRPC incorporado, exposto involuntariamente à Internet pública. Nas versões anteriores à v0.0.6, a ferramenta aceitava solicitações gRPC em todas as interfaces de rede e endereços via porta TCP 50051. Um atacante poderia aproveitar esta vulnerabilidade para gerenciar a configuração bgp no Linode afetado. Esta vulnerabilidade não é explorável se seu Linode estiver protegido por um firewall e esta porta estiver fechada. Para mitigar esta ameaça, chegamos a nossos clientes que acreditamos que poderiam ter sido afetados por esta vulnerabilidade. Até agora, não observamos nenhum caso de exploração ativa.
Para proteger seu Linode, atualize a ferramenta lelastic para a versão mais recente, atualmente v0.0.6. Se não for possível fazer a atualização imediatamente, você também pode restringir o acesso público à porta 50051 usando o Linode Cloud Firewall ou um firewall em execução no seu Linode.
Se você precisar de mais assistência, ou se tiver alguma dúvida, por favor, não hesite em contatar support@linode.com.
Panchan
Um novo malware foi descoberto recentemente pelos pesquisadores de segurança da Akamai Technologies que parece estar tendo como alvo os servidores Linux desde março de 2022. Em seu núcleo, ele consiste em um botnet TCP classe peer-to-peer para comando e controle e um sofisticado worm SSH que aproveita o arquivo conhecido_hosts para a descoberta do alvo junto com um algoritmo bruto forçando a penetração e a infecção de sistemas conectados. Panchan, escrito em golang, parece conseguir seu motivo executando dois criptominers - xmrig e nbhash - em arquivos memory-mapped. Os binários são base64 codificados dentro do próprio executável principal, que são então decodificados e executados em tempo de execução. Isto é muito provavelmente feito para evitar a detecção, algo que Panchan toma um número considerável de passos para garantir; ele também termina os processos do minerador ao detectar o topo e o htop e imita serviços e binários legítimos do sistema.
Ainda existem certas técnicas que podem ser usadas para detectar a presença do Panchan. Os administradores podem se referir a este repositório github compartilhado pela Akamai que contém uma lista de IoCs e um roteiro que pode ser usado para detectar técnicas ligadas ao Panchan. Para defender-se contra uma ameaça como Panchan, recomendamos a adoção de uma estratégia de defesa em profundidade que aproveite tecnologias como autenticação multi-fator e redundância no monitoramento.
Para uma análise aprofundada do malware, por favor, consulte este relatório.
Comentários