Vai al contenuto principale
BlogSicurezzaLinode Security Digest 28 novembre - 5 dicembre 2021

Linode Security Digest 28 novembre - 5 dicembre 2021

Digesto di sicurezza di Linode

Questa settimana parleremo di una vulnerabilità in un plugin di WordPress, di un nuovo malware per Linux e di uno strumento open source chiamato Osquery. Entriamo subito nel vivo!

Vulnerabilità di iniezione SQL di Hide My WP (CVE-2021-36916)

Secondo la pagina web del plugin, Hide My WP è un plugin per WordPress che nasconde il vostro sito web da aggressori, spammer e rilevatori di temi. Al momento in cui scriviamo, ha oltre 26.000 utenti attivi. Secondo il rapporto di patchstack, le versioni del plugin precedenti alla 6.2.3 sono vulnerabili a un attacco SQL injection non autenticato. Patchstack consiglia di aggiornare questo plugin alla versione 6.2.4 per mitigare questa vulnerabilità.

Malware CronRAT Linux

Scoperto da Sansec, CronRAT è un malware Linux che prende di mira i server di e-commerce. Come molti RAT (Remote Access Trojan), fornisce all'aggressore un accesso remoto al sistema colpito utilizzando un server C2 (Command and Control) e consente all'operatore del RAT di eseguire qualsiasi codice. 

Secondo l'articolo, la sua impresa principale è quella di nascondersi nel sottosistema calendario di Linux (noto anche come "cron") in un giorno inesistente. Utilizza inoltre un protocollo binario personalizzato per comunicare con il server dell'operatore, in modo da evitare il rilevamento da parte di meccanismi di rilevamento comuni come firewall e sistemi di rilevamento delle intrusioni. È possibile consultare l'articolo scritto da Sansec per raccogliere informazioni sugli IoC di questo malware.

Osquery e FleetDM

Osquery, originariamente sviluppato da Facebook, è un progetto open source che espone un sistema operativo come database relazionale ad alte prestazioni. Ciò consente agli utenti di interrogare un'ampia gamma di informazioni sul dispositivo su cui è installato, utilizzando query SQLite. Queste informazioni possono essere processi in esecuzione, moduli del kernel caricati, connessioni di rete aperte, plugin del browser, eventi hardware, hash dei file e altro ancora. Utilizziamo attivamente Osquery insieme ad altri strumenti open source per monitorare la nostra infrastruttura. 

Un altro strumento gratuito e open source, FleetDM, consente di distribuire gli agenti Osquery su più dispositivi e di gestirli facilmente. È possibile pianificare le query, scrivere pacchetti di query ed eseguire la caccia alle minacce utilizzando l'interfaccia web fornita da FleetDM. Consultate questo repository che fornisce pacchetti di query pre-scritte, in modo da poter iniziare subito a distribuire la vostra flotta.

Osquery in azione

Per dimostrare l'utilità di Osquery, daremo un'occhiata a uno degli IoC di CronRAT. Secondo l'articolo, un indicatore è che questo RAT si nasconde come cronjob in un giorno inesistente, il 31 febbraio. Possiamo usare la seguente query per cercare i cronjob scritti per essere eseguiti in questa data specifica:

SELECT * FROM crontab WHERE month = 2 AND day_of_month = 31 ;

Questa query raccoglierà informazioni dal dispositivo di destinazione utilizzando la tabella crontab gestita da Osquery. È possibile consultare lo schema per una visione dettagliata delle tabelle che possono essere interrogate su diversi sistemi operativi.

Contribuire agli strumenti open source e condividere le conoscenze della comunità aiuta tutti noi a proteggere i nostri sistemi. Condivideremo ulteriori informazioni sugli strumenti che utilizziamo per proteggere la nostra infrastruttura nei prossimi articoli sulla sicurezza. Nel frattempo, ci piacerebbe conoscere i vostri strumenti di sicurezza open source preferiti. Non esitate a commentare qui sotto e rimanete sintonizzati per ulteriori aggiornamenti da parte nostra.

Commenti

Lascia una risposta

Il vostro indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *