Похоже, что в последнее время никто в области компьютерной безопасности не может сделать перерыв, поскольку были обнаружены еще две серьезные бреши в кибербезопасности, связанные с веб-серверами.
Эти уязвимости, названные Sysrv-K исследователями безопасности в Twitter Microsoft Security Intelligence , устанавливают ботнеты, которые будут запускать майнер криптовалюты на зараженных устройствах. Тем не менее, метод распространения особенно неприятный и определенно может быть плодовитым.
Что Sysrv-K будет делать, так это сканировать Интернет на наличие веб-серверов или открытых веб-серверов с дырами в безопасности. Предполагая, что он находит эти дыры, он использует их, чтобы установить себя и включить этот крипто-майнер, который использует огромное количество системных ресурсов. Не особенно хорошо для тех, кто использует облачную систему с оплатой по мере использования.
Мы столкнулись с новым вариантом ботнета Sysrv, известным тем, что использует уязвимости в веб-приложениях и базах данных для установки майнеров монет в системах Windows и Linux. Новый вариант, который мы называем Sysrv-K, содержит дополнительные эксплойты и может получить контроль над веб-серверами.
— Microsoft Security Intelligence (@MsftSecIntel) 13 мая 2022 г.
В дополнение к этому поведению он также просматривает файлы конфигурации и резервные копии WordPress , чтобы найти учетные данные. Он даже будет искать ключи SSH, IP-адреса, имена хостов и многое другое. Получив эти данные, он потенциально может отправить сообщение кому-либо через приложение Telegram.
Кроме того, Sysrv-K может попытаться подключиться к другим серверам и устройствам в сети, а также выполнить сканирование вне сети. Это фактически также делает его прямым вирусом по базовому определению (любое программное обеспечение, которое дублирует себя). Это означает, что существует вероятность заражения сети и центра обработки данных.
Некоторые эксплойты на стороне WordPress связаны с плагинами, которые могут использовать определенные утилиты, если их не обновлять должным образом. С другой стороны уязвимости, это использует преимущества версий весеннего облачного шлюза до 3.1.1+ и 3.0.7+, как описано в CVE-2022-22947 .
Обновление командной строки Linux
Проблемы настолько серьезны, что даже правительство США обратило на них внимание, добавив их в список известных уязвимостей в CISA (Агентство по кибербезопасности и безопасности инфраструктуры) . Microsoft специально рекомендовала пользователям и системным администраторам защищать любые системы, подключенные к Интернету, проверять все программное обеспечение, которое необходимо обновить, и дважды проверять гигиену учетных данных.
Все лучшие практики, конечно, начиная с патча вторника в этом месяце, некоторые серверы Microsoft имеют проблемы с учетными данными . Он, конечно, указывает, что его собственное программное обеспечение для управления конечными точками, Microsoft Defender for Endpoint, действительно обнаруживает этот ботнет, хотя вскоре другое программное обеспечение для мониторинга конечных точек также обнаружит его из-за серьезности.