Zum Inhalt springen
BlogSicherheitLinode Security Digest November 28 - Dezember 5, 2021

Linode Security Digest 28. November bis 5. Dezember 2021

Linode Security Digest

Diese Woche sprechen wir über eine Sicherheitslücke in einem WordPress-Plugin, eine neuartige Linux-Malware und ein Open-Source-Tool namens Osquery. Legen wir gleich los!

Hide My WP SQL-Injection-Schwachstelle (CVE-2021-36916)

Laut der Webseite des Plugins ist Hide My WP ein WordPress-Plugin, das Ihre Website vor Angreifern, Spammern und Theme-Detektoren versteckt. Zum Zeitpunkt der Erstellung dieses Artikels hat es über 26.000 aktive Nutzer. Dem Patchstack-Bericht zufolge sind die Versionen dieses Plugins vor 6.2.3 anfällig für einen unauthentifizierten SQL-Injection-Angriff. Patchstack rät, das Plugin auf Version 6.2.4 zu aktualisieren, um diese Schwachstelle zu beseitigen.

CronRAT Linux-Schadprogramm

Der von Sansec entdeckte CronRAT ist eine Linux-Malware, die auf eCommerce-Server abzielt. Wie viele RATs (Remote Access Trojaner) verschafft er einem Angreifer über einen C2-Server (Command and Control) Fernzugriff auf das betroffene System und ermöglicht dem RAT-Operator die Ausführung beliebigen Codes. 

Dem Artikel zufolge besteht seine Hauptleistung darin, sich im Kalender-Subsystem von Linux (auch bekannt als "cron") an einem nicht existierenden Tag zu verstecken. Außerdem verwendet er ein benutzerdefiniertes Binärprotokoll, um mit dem Server des Betreibers zu kommunizieren, damit er von gängigen Erkennungsmechanismen wie Firewalls und Intrusion Detection Systemen nicht entdeckt wird. In dem von Sansec verfassten Artikel finden Sie Informationen zu den IoCs für diese Malware.

Osquery & FleetDM

Osquery, ursprünglich von Facebook entwickelt, ist ein Open-Source-Projekt, das ein Betriebssystem als leistungsstarke relationale Datenbank darstellt. Dies ermöglicht es seinen Nutzern, eine breite Palette von Informationen über das Gerät, auf dem es installiert ist, mit SQLite-Abfragen abzufragen. Diese Informationen können laufende Prozesse, geladene Kernelmodule, offene Netzwerkverbindungen, Browser-Plugins, Hardware-Ereignisse, Datei-Hashes und vieles mehr sein. Wir setzen Osquery zusammen mit anderen Open-Source-Tools aktiv zur Überwachung unserer Infrastruktur ein. 

Ein weiteres kostenloses und quelloffenes Tool, FleetDM, ermöglicht es Ihnen, Osquery-Agenten auf mehreren Geräten einzusetzen und diese einfach zu verwalten. Über die von FleetDM bereitgestellte Webschnittstelle können Sie Abfragen planen, Abfragepakete schreiben und Bedrohungen aufspüren. In diesem Repository finden Sie vorgefertigte Abfragepakete, so dass Sie sofort loslegen können, wenn Sie Ihr eigenes Fleet einsetzen.

Osquery in Aktion

Um die Nützlichkeit von Osquery zu demonstrieren, werfen wir einen Blick auf einen der IoCs von CronRAT. Laut dem Artikel ist ein Indikator, dass sich dieser RAT als Cronjob an einem nicht existierenden Tag, nämlich dem 31. Februar, versteckt. Wir können die folgende Abfrage verwenden, um nach Cronjobs zu suchen, die für die Ausführung an diesem bestimmten Datum geschrieben wurden:

SELECT * FROM crontab WHERE month = 2 AND day_of_month = 31 ;

Diese Abfrage sammelt Informationen aus dem Zielgerät unter Verwendung der von Osquery verwalteten Tabelle crontab. Sie können sich das Schema ansehen, um einen detaillierten Überblick über die Tabellen zu erhalten, die auf verschiedenen Betriebssystemen abgefragt werden können.

Der Beitrag zu Open-Source-Tools und die Weitergabe des Wissens der Gemeinschaft helfen uns allen, unsere Systeme zu sichern. Wir werden in den nächsten Security Digests mehr über die Tools berichten, die wir zur Sicherung unserer Infrastruktur verwenden. In der Zwischenzeit würden wir gerne mehr über Ihre bevorzugten Open-Source-Sicherheitstools erfahren. Schreiben Sie uns unten einen Kommentar und bleiben Sie dran für weitere Updates von uns.

Kommentare

Kommentar abgeben

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *gekennzeichnet