Pengarang browser Pale Moon
Server bermasalah lagi offline kanggo diselidiki. Server saka ngendi rilis saiki disebarake
Pale Moon ora kena pengaruh, masalah mung mengaruhi versi Windows lawas sing diinstal saka arsip (rilis dipindhah menyang arsip nalika versi anyar dirilis). Sajrone hack, server mbukak Windows lan mlaku ing mesin virtual sing disewa saka operator Frantech / BuyVM. Durung cetha apa jenis kerentanan sing dieksploitasi lan apa iku khusus kanggo Windows utawa kena pengaruh sawetara aplikasi server pihak katelu sing mlaku.
Sawise entuk akses, panyerang kanthi selektif nginfeksi kabeh file exe sing ana gandhengane karo Pale Moon (pemasang lan arsip ekstraksi dhewe) nganggo piranti lunak Trojan.
Ing tanggal 26 Mei 2019, sajrone kegiatan ing server penyerang (ora jelas manawa panyerang kasebut padha karo hack pisanan utawa liyane), operasi normal archive.palemoon.org diganggu - host ora bisa kanggo urip maneh, lan data rusak. Iki kalebu mundhut log sistem, sing bisa uga kalebu jejak sing luwih rinci sing nuduhake sifat serangan kasebut. Nalika gagal iki, pangurus ora ngerti babagan kompromi lan mulihake arsip kasebut supaya bisa digunakake kanthi nggunakake lingkungan basis CentOS anyar lan ngganti download FTP nganggo HTTP. Wiwit kedadeyan kasebut ora diweruhi, file saka serep sing wis kena infeksi ditransfer menyang server anyar.
Nganalisis alasan sing bisa nyebabake kompromi kasebut, dianggep manawa panyerang entuk akses kanthi ngira sandhi menyang akun staf hosting, entuk akses fisik langsung menyang server, nyerang hypervisor kanggo ngontrol mesin virtual liyane, hacking panel kontrol web. , nyegat sesi desktop remot (protokol RDP digunakake) utawa kanthi ngeksploitasi kerentanan ing Windows Server. Tumindak angkoro ditindakake sacara lokal ing server kanthi nggunakake skrip kanggo ngowahi file sing bisa dieksekusi, tinimbang ngunduh maneh saka njaba.
Penulis proyek kasebut nyatakake yen mung dheweke duwe akses administrator menyang sistem kasebut, akses diwatesi mung siji alamat IP, lan OS Windows sing ndasari dianyari lan dilindhungi saka serangan eksternal. Ing wektu sing padha, protokol RDP lan FTP digunakake kanggo akses remot, lan piranti lunak sing potensial ora aman diluncurake ing mesin virtual, sing bisa nyebabake peretasan. Nanging, penulis Pale Moon cenderung percaya manawa hack kasebut ditindakake amarga ora cukup proteksi saka infrastruktur mesin virtual saka panyedhiya (contone, ing siji wektu, liwat pilihan sandi panyedhiya ora aman nggunakake antarmuka manajemen virtualisasi standar.
Source: opennet.ru