Uma grave vulnerabilidade de desserialização do PHP que leva à execução de código foi corrigida no Imunify360. Descoberta pelo pesquisador do Cisco Talos, Marcin ‘Icewall’ Noga, a vulnerabilidade “poderia causar uma condição de desserialização com dados controláveis e, em seguida, executar código arbitrário”, deixando os servidores da Web abertos para sequestro. Portanto, um importante bug de execução de código corrigido no pacote de segurança de servidor Imunify360 Linux.
Rastreado como CVE-2021-21956 e emitido uma pontuação CVSSv3 de 8,2, a falha de segurança está presente nas versões 5,8 e 5,9 do Imunify360 do CloudLinux. Imunify360 é um pacote de segurança para servidores da web Linux, incluindo gerenciamento de patches, lista negra de domínios e recursos de firewall.
Bug de execução de código corrigido no pacote de segurança de servidor Imunify360 Linux
Em um comunicado de segurança publicado na segunda-feira, o Cisco Talos disse que a falha foi encontrada na funcionalidade do scanner de malware Ai-Bolit do software.
O componente Ai-Bolit é usado para examinar e verificar arquivos relacionados a sites, como conteúdo .php, .js ou .html, e é instalado nativamente como um serviço com privilégios de root. Em uma classe de desofuscação do módulo, uma falha ao higienizar os dados enviados significa que a execução arbitrária do código pode ser realizada durante a desserialização.
Se o software estiver configurado para verificação do sistema de arquivos em tempo real, os invasores podem disparar um ataque criando um arquivo malicioso no servidor de destino ou se um usuário for enganado para executar uma verificação em um arquivo de carga útil criado em nome do ator da ameaça.
A Cisco relatou suas descobertas ao fornecedor em 1º de outubro e a divulgação pública coordenada foi acordada. Os desenvolvedores da Web do Linux que usam Imunify360 devem atualizar suas compilações para a versão mais recente, no momento da escrita, a versão 6.1.
Malware misterioso pode ameaçar milhões de roteadores e dispositivos IoT
Uma nova forma de malware da Internet das Coisas, que usa mais de 30 exploits diferentes, foi detectada por pesquisadores de segurança.
Detalhado por pesquisadores de segurança cibernética da AT&T Alien Labs, o malware BotenaGo pode usar vários métodos para atacar alvos e, em seguida, criar um backdoor nos dispositivos comprometidos. “Implantado com mais de 30 exploits, tem o potencial de atingir milhões de roteadores e dispositivos IoT”, disseram os pesquisadores.
Alguns pacotes de antivírus detectam o malware como uma variante do Mirai, o botnet de malware IoT que sobrecarregou grandes seções da Internet com ataques DDoS em 2016. Embora a carga útil inicialmente pareça semelhante, na verdade também é significativamente diferente porque está escrito nalinguagem de programação Go.
Go tem ganhado popularidade entre os desenvolvedores nos últimos anos – e também está se tornando cada vez mais popular entre os autores de malware.
Sobre o malware
O BotenaGo verifica a Internet em busca de alvos vulneráveis e a análise do código revela que o invasor é apresentado a um contador de infecção global ativo que informa quantos dispositivos estão comprometidos em um determinado momento.
Os invasores são capazes de explorar as vulnerabilidades em dispositivos voltados para a Internet e podem executar comandos shell remotos – e é algo que os invasores podem usar como um gateway para a rede mais ampla, se não for protegido adequadamente.
Os invasores também podem usar essa opção para distribuir cargas maliciosas, mas no momento em que os pesquisadores analisavam o BotenaGo, elas aparentemente haviam sido removidas dos servidores hospedados pelos invasores, portanto não foi possível analisá-las.
O BotenaGo pode comprometer potencialmente milhões de dispositivos expostos às vulnerabilidades detalhadas pelos pesquisadores, mas atualmente não há nenhuma comunicação óbvia com um servidor de comando e controle.
Segundo os pesquisadores, existem três opções.
Em primeiro lugar, isso pode significar que o BotenaGo é apenas um módulo de um pacote de malware maior que não está sendo usado em ataques no momento. Também existe a possibilidade de que ele esteja conectado ao Mirai, usado por aqueles que estão por trás do Mirai ao mirar em máquinas específicas. Finalmente, os pesquisadores também sugerem que o BotenaGo ainda está em desenvolvimento e uma versão beta dele foi acidentalmente lançada no início – por isso ainda não faz muito.
Mesmo se estiver inativo, o número de vulnerabilidades que o BotenaGo pode explorar significa que milhões de dispositivos são potencialmente vulneráveis.
Para se proteger contra esta e outras ameaças de malware de IoT, é recomendado que o software seja bem mantido com as atualizações de segurança aplicadas o mais rápido possível para minimizar o tempo para os invasores explorarem as vulnerabilidades recém-divulgadas.
Também é recomendado que os dispositivos IoT não sejam expostos à Internet mais ampla e que um firewall devidamente configurado seja implantado para protegê-los.
Via ZDNet