Avançar para o conteúdo principal
BlogSegurançaLinode Security Digest 20-26 de Junho de 2022

Linode Security Digest 20-26 de Junho de 2022

Linode Security Digest

Esta semana, vamos falar sobre uma vulnerabilidade de segurança identificada na nossa ferramenta Lelastic, que é utilizada pelos nossos clientes para configurar o failover IP, e um novo malware baseado em Linux que parece ter como alvo os sistemas educativos na região da Ásia.

Vulnerabilidade elástica

Foi identificada uma vulnerabilidade de segurança em lelastic, uma ferramenta construída por Linode que simplifica a configuração de failover. O failover é o conceito de reencaminhamento do tráfego para um sistema de backup, caso o sistema primário se torne indisponível. As instâncias de Linode Compute suportam o failover através da nossa funcionalidade de IP Sharing.

A vulnerabilidade deriva de um servidor gRPC incorporado involuntariamente exposto à Internet pública. Em versões anteriores à v0.0.6, a ferramenta aceitou pedidos de gRPC em todas as interfaces de rede e endereços através da porta TCP 50051. Um atacante poderia aproveitar esta vulnerabilidade para gerir a configuração bgp no Linode afectado. Esta vulnerabilidade não é explorável se o seu Linode estiver protegido por uma firewall e esta porta estiver fechada. Para mitigar esta ameaça, chegámos aos nossos clientes que acreditamos que poderiam ter sido afectados por esta vulnerabilidade. Até agora, não observámos quaisquer casos de exploração activa.

Para proteger o seu Linode, actualize a ferramenta lelástica para a versão mais recente, actualmente v0.0.6. Se não for capaz de actualizar imediatamente, pode também restringir o acesso público à porta 50051, utilizando Linode Cloud Firewall ou uma firewall a funcionar no seu Linode.

Se precisar de mais assistência, ou se tiver alguma dúvida, não hesite em contactar support@linode.com.

Panchan

Um novo malware foi recentemente descoberto pelos investigadores de segurança da Akamai Technologies que parece ter como alvo os servidores Linux desde Março de 2022. No seu núcleo, consiste num botnet TCP de classe peer-to-peer para comando e controlo e um sofisticado worm SSH que aproveita o ficheiro conhecido_hosts para a descoberta de alvos, juntamente com um algoritmo de forçagem bruta para penetrar e infectar sistemas ligados. Panchan, escrito em golang, parece conseguir o seu motivo executando dois criptominers - xmrig e nbhash - em ficheiros memory-mapped. Os binários são base64 codificados dentro do próprio executável principal, que são depois descodificados e executados em tempo de execução. Isto é muito provavelmente feito para evitar a detecção, algo que Panchan toma um número considerável de passos para assegurar; também termina os processos de mineiro após a detecção de topo e htop e imita serviços e binários legítimos do sistema. 

Existem ainda certas técnicas que podem ser utilizadas para detectar a presença de Panchan. Os administradores podem referir-se a este repositório github partilhado pela Akamai que contém uma lista de IoCs e um guião que pode ser utilizado para detectar técnicas ligadas ao Panchan. Para defender-se contra uma ameaça como Panchan, recomendamos a adopção de uma estratégia de defesa em profundidade que aproveite tecnologias como a autenticação multi-factor e redundância na monitorização.

Para uma análise aprofundada do malware, por favor consulte este relatório.


Comentários

Deixe uma resposta

O seu endereço de correio electrónico não será publicado. Os campos obrigatórios estão marcados com *