3,5 млн. Linux-сървъра са изложени на риск

Нов червей атакува Linux-базирани x86 сървъри и IoT (Internet of Things) устройства (с ARM и MIPS процесори). Наречен е Gitpaste-12, защото използва 12 различни модула за атака. Разпространява се скрит в GitHub и Pastebin. Изследователите смятат, че в момента над 3,5 млн. сървъра са изложени на риск.

Кодът експлоатира съществуващи уязвимости, за да компрометира системата. Сред тях са грешките в: Apache Struts (CVE-2017-5638), рутери Asus (CVE-2013-5948), Webadmin плъгин за opendreambox (CVE-2017-14135) и рутери Tenda (CVE-2020-10987).

Как действа зловредният код

Веднъж качен на устройството на жертвата, той започва да разгръща други компоненти на Gitpaste-12. Последователно изтегля и изпълнява различни скриптове, които целят да деактивират наличните защитни системи, които Linux-устройството има, включително решенията за облачна сигурност.

Прочетете още: Ловци на митове: за Linux няма вируси, ама друг път

Gitpaste-12 разполага с команди, с които: пречи на администраторите да събират информация за изпълнявани процеси, може да инсталира криптомайнери за валутата Monero, изтегля и изпълнява файлове, които хостват допълнителен злонамерен код.

Заразата се разпространява

Като един истински червей, Gitpaste-12 съдържа и скрипт, който стартира атаки срещу други устройства, с цел да репликира и разпространи злонамерения софтуер. Първоначално избира произволен CIDR за атака и оттам се насочва към всички IP адреси в обхвата му.

Версия на скрипта отваря портове 30004 и 30005 за reverse shell команди, чрез които практически може да завладее цялата система на жертвата.

Съвети за системни администратори

Как да се предпазите, ако сървърът ви работи под Linux? От ESET дават следните предложения:

• Обновявайте системата редовно
• Използвайте ключове, а не пароли, за автентикация
• Изключете отдалечения административен достъп
• Изполвайте решение за многофакторна автентикация за SSH