A Pale Moon böngésző szerzője
A problémás szerver jelenleg offline állapotban van vizsgálat céljából. Szerver, amelyről az aktuális kiadásokat terjesztették
A Pale Moon nem érinti, a probléma csak az archívumból telepített régi Windows-verziókat érinti (a kiadások az archívumba kerülnek az új verziók megjelenésekor). A feltörés során a szerveren Windows futott, és a Frantech/BuyVM üzemeltetőtől bérelt virtuális gépen futott. Egyelőre nem világos, hogy milyen sérülékenységet használtak ki, és hogy ez a Windows-ra jellemző, vagy érintett-e néhány futó, harmadik féltől származó szerveralkalmazást.
A hozzáférés megszerzése után a támadók szelektíven megfertőzték a Pale Moonhoz kapcsolódó összes exe fájlt (telepítők és önkicsomagoló archívumok) trójai szoftverrel.
26. május 2019-án a támadók szerverén végzett tevékenység során (nem világos, hogy ugyanazok a támadók voltak-e, mint az első feltörésnél, vagy mások) az archive.palemoon.org normál működése megszakadt - a gazdagép nem tudott újraindítani, és az adatok megsérültek. Ez magában foglalta a rendszernaplók elvesztését, amelyek tartalmazhattak volna részletesebb nyomokat is, amelyek jelezték a támadás természetét. A hiba idején a rendszergazdák nem tudtak a kompromisszumról, és visszaállították az archívumot egy új CentOS-alapú környezettel, és az FTP-letöltéseket HTTP-re cserélték. Mivel az incidenst nem vették észre, a biztonsági másolatból már fertőzött fájlok átkerültek az új szerverre.
A kompromisszum lehetséges okait elemezve feltételezhető, hogy a támadók úgy jutottak hozzá, hogy kitalálták a jelszavát a fogadó személyzet fiókjához, közvetlen fizikai hozzáférést nyertek a szerverhez, megtámadták a hypervisort, hogy megszerezzék az irányítást más virtuális gépek felett, feltörték a webes vezérlőpultot. , távoli asztali munkamenet elfogása (RDP protokollt használt), vagy a Windows Server biztonsági résének kihasználása. A rosszindulatú műveleteket helyileg, a szerveren hajtották végre egy parancsfájl segítségével a meglévő végrehajtható fájlok módosítására, ahelyett, hogy azokat kívülről töltötték volna le.
A projekt szerzője azt állítja, hogy csak neki volt adminisztrátori hozzáférése a rendszerhez, a hozzáférést egy IP-címre korlátozták, a mögöttes Windows operációs rendszert pedig frissítették és védték a külső támadásoktól. Ezzel párhuzamosan RDP és FTP protokollokat használtak a távoli eléréshez, és a virtuális gépen potenciálisan nem biztonságos szoftverek indultak, amelyek feltörést okozhatnak. A Pale Moon szerzője azonban hajlamos azt hinni, hogy a feltörést a szolgáltató virtuálisgép-infrastruktúrájának elégtelen védelme miatt követték el (például egy időben egy nem biztonságos szolgáltatói jelszó kiválasztásával a szabványos virtualizációkezelő felület segítségével
Forrás: opennet.ru