Um vírus está fazendo backdoor em servidores de armazenamento usando a falha do Bash

O bug Shellshock provou ser “wormable” e está explorando os dispositivos vulneráveis ​​conectados à rede (pelo menos pela QNAP), procurando mais vítimas em potencial.

O bug Shellshock provou ser “wormable” e está explorando os dispositivos vulneráveis ​​conectados à rede (pelo menos pela QNAP), procurando mais vítimas em potencial. Embora não seja exatamente uma história de época de Natal, é importante, no entanto. Os dispositivos NAS de backdoor podem ser usados ​​como um ponto de preparação para outros tipos de ataques.

 

O worm abre um backdoor para dispositivos QNAP NAS, que estão em uso “significativo” em todo o mundo. Na verdade, a QNAP lançou o patch para a vulnerabilidade do Bash em seus produtos Turbo NAS - talvez um pouco tarde, visto que o Shellshock foi descoberto meses antes, mas ainda assim foi feito. Em outubro. Agora é dezembro e, aparentemente, ainda existem muitos dispositivos vulneráveis ​​- ou seja, não corrigidos - por aí. O que pode custar muito às empresas que os operam.

 

Para fins de justiça, aplicar patches Bash pode ser uma tarefa árdua. Primeiro, não é tão aparente que o patch exista, a menos que um console de administração do dispositivo seja acessado. Em segundo lugar, o patch requer uma reinicialização, o que pode ser um problema se o dispositivo for usado como um destino iSCSI em um ambiente virtual. Em seguida, todas as VMs devem ser retiradas ou movidas para um dispositivo diferente. A interrupção do serviço é quase iminente.

 

[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]

 

Na verdade, como sabemos, até mesmo os fornecedores de Linux tiveram problemas para lançá-los. Mas é possível e necessário fazer o mais rápido possível.

 

O worm em questão tem como alvo um script QNAP CGI /cgi-bin/authLogin.cgi, que foi alvo de exploits Shellshock no passado, diz Threatpost. O script pode ser acessado sem autenticação e os invasores, nesse caso, iniciam um script de shell capaz de baixar malware adicional.

 

Fazer backdoor neste tipo de dispositivo significa que os invasores ganham uma posição segura na infraestrutura da entidade visada. As consequências podem ser desagradáveis, para dizer o mínimo: um ransomware deslizando por uma porta dos fundos não é apenas um cenário viável - já foi observado antes, com dispositivos Synology NAS.

 

Existem algumas peculiaridades com este worm. Em primeiro lugar, ele aparentemente também lança um script de fraude de cliques contra a rede de publicidade JuiceADV (dinheiro, sempre dinheiro). O script também cria um diretório oculto onde armazena scripts e arquivos baixados. Uma vez na máquina comprometida, ele configura o servidor DNS para 8.8.8.8 - aparentemente para evitar o registro dos domínios afetados - e cria um servidor SSH na porta 26, adicionado ao servidor SSH normal na porta 22. Isso aparentemente é feito para o persistência causa.

 

Mas o mais interessante é que o script também baixa e instala o patch Shellshock da QNAP (!) - não porque seja tão querido, mas simplesmente para evitar que outros invasores invadam o sistema infectado.

 

Resumindo, a equipe de TI responsável pela segurança desses dispositivos deve aplicar os patches por conta própria, ou um worm o fará. Por um preço.

 

 

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.


Strong

5178 Blog postovi

Komentari