本周,我们将讨论在我们的Lelastic工具中发现的一个安全漏洞,该工具被我们的客户用来配置IP故障转移,以及一种新的基于Linux的恶意软件,似乎是针对亚洲地区的教育系统。
弹性的脆弱性
lelastic中发现了一个安全漏洞,这是一个由Linode建立的工具,简化了故障转移的配置。故障转移是指在主系统不可用的情况下,将流量重新分配到一个备份系统的概念。Linode计算实例通过我们的IP共享功能支持故障转移。
该漏洞源于一个内置的gRPC服务器无意中暴露在公共互联网上。在v0.0.6之前的版本中,该工具通过TCP 50051端口接受所有网络接口和地址的gRPC请求。攻击者可以利用这个漏洞来管理受影响的Linode上的bgp配置。如果你的Linode受到防火墙的保护,并且这个端口被关闭,那么这个漏洞就无法被利用。为了减轻这一威胁,我们联系了我们的客户,我们认为他们可能已经受到这一漏洞的影响。到目前为止,我们还没有观察到任何主动利用的案例。
为保护您的 Linode,请将 lelastic 工具升级到最新版本,目前为 v0.0.6。如果无法立即升级,也可以使用LinodeCloud Firewall或在 Linode 上运行的防火墙限制对 50051 端口的公共访问。
如果你需要进一步的帮助,或有任何问题,请不要犹豫,请联系support@linode.com。
潘昌
Akamai Technologies的安全研究人员最近发现了一个新的恶意软件,该软件似乎自2022年3月以来一直在针对Linux服务器。在其核心部分,它包括一个用于命令和控制的TCP点对点类僵尸网络和一个复杂的SSH蠕虫,该蠕虫利用know_hosts 文件来发现目标,并采用暴力强迫算法来渗透和感染连接的系统。Panchan是用golang编写的,似乎是通过执行内存映射文件中的两个密码器--xmrig和nbhash来实现其动机。这些二进制文件在主可执行文件本身中进行了base64编码,然后在运行时被解码和执行。这很可能是为了避免被发现,Panchan采取了相当多的步骤来确保这一点;它还在发现top和htp时终止矿工进程,并模仿合法的systemd服务和二进制文件。
仍然有一些技术可以用来检测Panchan的存在。管理员可以参考这个由Akamai分享的github资源库,其中包含一个IoCs列表和一个脚本,可以用来检测与Panchan有关的技术。为了防御像Panchan这样的威胁,我们建议采取深度防御策略,利用多因素认证和监控中的冗余等技术。
关于恶意软件的深入分析,请参考本报告。
注释