Questa settimana parleremo di una vulnerabilità di sicurezza identificata nel nostro strumento Lelastic, utilizzato dai nostri clienti per configurare il failover IP, e di un nuovo malware basato su Linux che sembra prendere di mira i sistemi educativi della regione asiatica.
Vulnerabilità elastica
È stata identificata una vulnerabilità di sicurezza in lelastic, uno strumento realizzato da Linode che semplifica la configurazione del failover. Il failover è il concetto di reindirizzamento del traffico verso un sistema di backup nel caso in cui il sistema primario non sia disponibile. Le istanze Linode Compute supportano il failover attraverso la nostra funzione di condivisione IP.
La vulnerabilità deriva da un server gRPC integrato esposto involontariamente alla rete Internet pubblica. Nelle versioni precedenti alla v0.0.6, lo strumento accettava richieste gRPC su tutte le interfacce e gli indirizzi di rete tramite la porta TCP 50051. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità per gestire la configurazione bgp sul Linode interessato. Questa vulnerabilità non è sfruttabile se il Linode è protetto da un firewall e questa porta è chiusa. Per mitigare questa minaccia, abbiamo contattato i nostri clienti che riteniamo possano essere stati colpiti da questa vulnerabilità. Finora non abbiamo osservato alcun caso di sfruttamento attivo.
Per proteggere il proprio Linode, aggiornare lo strumento lelastic alla versione più recente, attualmente la v0.0.6. Se non si è in grado di aggiornare immediatamente, si può anche limitare l'accesso pubblico alla porta 50051 usando Linode Cloud Firewall o un firewall in esecuzione sul proprio Linode.
Se avete bisogno di ulteriore assistenza o se avete domande, non esitate a contattare support@linode.com.
Panchan
Un nuovo malware è stato scoperto di recente dai ricercatori di sicurezza di Akamai Technologies che sembra prendere di mira i server Linux dal marzo 2022. Nel suo nucleo, consiste in una botnet TCP di classe peer-to-peer per il comando e il controllo e in un sofisticato worm SSH che sfrutta il file known_hosts per la scoperta degli obiettivi insieme a un algoritmo di brute forcing per penetrare e infettare i sistemi connessi. Panchan, scritto in golang, sembra raggiungere il suo scopo eseguendo due crittogrammi - xmrig e nbhash - in file mappati in memoria. I binari sono codificati in base64 all'interno dell'eseguibile principale, che viene poi decodificato ed eseguito in runtime. Questo è molto probabilmente fatto per evitare il rilevamento, cosa che Panchan fa con un numero considerevole di passi per garantire; inoltre termina i processi minerari al rilevamento di top e htop e imita servizi e binari systemd legittimi.
Esistono ancora alcune tecniche che possono essere utilizzate per rilevare la presenza di Panchan. Gli amministratori possono fare riferimento a questo repository github condiviso da Akamai che contiene un elenco di IoC e uno script che possono essere utilizzati per rilevare le tecniche legate a Panchan. Per difendersi da una minaccia come Panchan, si consiglia di adottare una strategia di difesa in profondità che sfrutti tecnologie come l'autenticazione a più fattori e la ridondanza del monitoraggio.
Per un'analisi approfondita del malware, si rimanda a questo rapporto.
Commenti