Raakapistorasioiden takaovi antaa hyökkääjille täydellisen joidenkin Linux-palvelimien hallinta

Raakapistorasioiden takaovi antaa hyökkääjille täydellisen hallinnan joillekin Linux-palvelimilleJeremy Brooks / Flickr

Salamaton takaovi, jota byantimalware-ohjelmistotoimittajat eivät havaitse, on antaa tuntemattomille hyökkääjille täyden hallinnan ainakin 100 Linuxista palvelimet, joita näyttää käytettävän yrityksen tuotantoympäristöissä, varoittaa tutkijoita.

Keskiviikkona julkaistussa blogikirjoituksessa, Montrealissa toimiva GoSecure väitti, että kappale “Chaos” -niminen haittaohjelma tarttuu huonosti suojatut järjestelmät arvaamalla heikot salasanat, jotka suojaavat suojattua kuorta sovellusten järjestelmänvalvojat käyttävät Unix-pohjaisen etähallintaa tietokoneissa. Vaaratun suojatun kuoren tai SSH-tilien käyttö suoritetaan juurina, ja tällä tavalla takaovi voi saada sellaisen pääsyn kuin hyvin. Yleensä palvelimien edessä olevat palomuurit estävät tällaiset takaovet viestinnästä Internetin ulkopuolella. Asennuksen jälkeen Chaos ohittaa nämä suojaukset käyttämällä “raakapistorasiana” tarkkaillakseen kaiken verkon kautta lähetettyä tietoa.

“Kun Chaos käyttää raa’aa pistorasiaa, takaovi voidaan laukaista päälle satamat, jotka ylläpitävät olemassa olevaa laillista palvelua, “Sebastian Feldmann, maisterin tutkinto-opiskelija, joka työskenteli GoSecuressa, kirjoitti. “Kuten esimerkki, verkkopalvelin, joka paljastaa vain SSH (22), HTTP (80), ja HTTPS (443) eivät olisi tavoitettavissa perinteisen takaoven kautta johtuen siitä, että nämä palvelut ovat käytössä, mutta kaaoksen kanssa tulee mahdolliseksi. ”

Asennuksensa jälkeen Chaos sallii haittaohjelmien operaattorit missä tahansa maailman saada täydellinen hallinta palvelimen yli käännetyn kuoren kautta. Hyökkääjä voi käyttää etuoikeutettua ahventaan suodattaakseen arkaluontoisia tietoja, siirry edelleen vaarannetun verkon sisällä tai välityspalvelimena piilottaa hakkerit verkon ulkopuolella olevissa tietokoneissa. Aktivoi takaovesta, hyökkääjät lähettävät heikosti salatun salasanan yhdelle tartunnan saaneen koneen portit.

GoSecure-tutkijoiden mukaan salasana oli helppo heille halkeamia, koska se oli koodattu haittaohjelmaan muinaisten avulla DES-salausjärjestelmä. Tämä tarkoittaa, että tartunnan saaneet järjestelmät eivät ole saatavilla vain ihmisille, jotka alun perin istuttivat kaaosta, mutta kuka tahansa, joka, kuten GoSecure, sijoittaa tarvittavat vaatimattomat resurssit murta salasana. Tutkijat suorittivat Internet-laajuisen skannauksen 19. tammikuuta ja havaitsi 101 tartunnan saaneita koneita.

Apatia on haittaohjelmien paras ystävä

He kertoivat havainnoistaan ​​Kanadan verkkohäiriölle Reagointikeskus toivoo saavansa asianomaiset organisaatiot desinfioi niiden järjestelmät. Keskiviikkona tehty tutkimus kuitenkin osoitti sen 98 palvelinta oli tartunnan saanut. Vaarannetut järjestelmät sijaitsivat monissa suurien nimien isännöintipalveluissa, kuten Cloudbuilders, Rackspace, Digital Ocean, Linode, Comcast ja OVH.

Kun tutkijat kaivoivat kauemmas kaaokseen, he huomasivat sen haittaohjelma ei ollut muuta kuin takaoven nimetty versio joka sisällytettiin juurikokoonpanoon, joka tunnetaan nimellä SEBD – lyhenne sanoista Simple Salattu takaovi Linuxille – julkaistiin julkisesti vuonna 2013. Huolimatta saatavuudesta yli viisi vuotta, tämä VirusTotal kysely osoittaa, että yksikään 58: sta yleisimmin käytetystä haittaohjelmien torjuntaohjelmasta palvelut havaitsevat sen. GoSecure totesi lisäksi, että hyökkääjät ovat niputtamalla kaaos haittaohjelmilla bottiverkkoon, joka on tottunut kaivokseen salausvaluutta, joka tunnetaan nimellä Monero.

Tärkein heikkous, joka mahdollistaa kaaoksen leviämisen, on a: n käyttö heikko salasana SSH: n suojaamiseksi. Parhaat käytännöt vaativat SSH: ta suojattu salausavaimella ja vahvalla salasanalla. Keskiviikon blogin viesti sisältää joukon indikaattoreita, jotka järjestelmänvalvojat voivat selvittää, onko jokin heidän järjestelmistään vaarannu. Vaikuttavien palvelimien desinfioinnin lisäksi järjestelmänvalvojien tulisi varmista, että heidän SSH-sovelluksensa on suojattu riittävästi estämiseksi samanlaisia ​​hyökkäyksiä onnistumisesta uudestaan.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: