Pale Moon хөтчийн зохиогч 27.6.2 хувилбар хүртэлх хөтчийн өмнөх хувилбаруудын архивыг хадгалсан archive.palemoon.org серверийн эвдрэлийн талаарх мэдээлэл. Хакерын үеэр халдагчид сервер дээр байршуулсан Windows-д зориулсан Pale Moon суулгагчаар бүх гүйцэтгэгдэх боломжтой файлуудыг вирусээр халдварласан байна. Урьдчилсан мэдээллээр хорлонтой программыг солих ажлыг 27 оны 2017-р сарын 9-нд хийсэн бөгөөд зөвхөн 2019 оны XNUMX-р сарын XNUMX-нд илрүүлсэн, өөрөөр хэлбэл. нэг жил хагасын турш анзаарагдахгүй байв.
Асуудалтай сервер одоогоор шалгалт хийхээр офлайн байна. Одоогийн хувилбаруудыг түгээсэн сервер
Pale Moon-д нөлөөлөөгүй, асуудал нь зөвхөн архиваас суулгасан Windows-ийн хуучин хувилбаруудад хамаарна (шинэ хувилбарууд гарах үед хувилбаруудыг архивт шилжүүлдэг). Хакердах үед сервер нь Windows үйлдлийн системтэй байсан ба Frantech/BuyVM оператороос түрээсэлсэн виртуал машин дээр ажиллаж байсан. Ямар төрлийн эмзэг байдлыг ашигласан, энэ нь Windows-д зориулагдсан эсэх, эсвэл гуравдагч талын серверийн зарим програмуудад нөлөөлсөн эсэх нь одоогоор тодорхойгүй байна.
Хандалтыг олж авсны дараа халдагчид Pale Moon-тэй холбоотой бүх exe файлуудыг (суулгагчид болон өөрөө задлах архивууд) Трояны программ хангамжаар сонгон халдварлажээ. , санах ой дахь биткойны хаягийг солих замаар криптовалют хулгайлах зорилготой. Zip архивын гүйцэтгэх боломжтой файлуудад нөлөөлөхгүй. Суулгагчийн өөрчлөлтийг хэрэглэгч файлд хавсаргасан тоон гарын үсэг эсвэл SHA256 хэшийг шалгах замаар илрүүлсэн байж магадгүй. Ашигласан хортой програм нь мөн амжилттай болсон хамгийн сүүлийн үеийн антивирусууд.
26 оны 2019-р сарын XNUMX-ны өдөр халдагчдын сервер дээрх үйл ажиллагааны үеэр (эдгээр нь эхний хакердсан эсвэл бусад халдагчид байсан эсэх нь тодорхойгүй байна) archive.palemoon.org сайтын хэвийн үйл ажиллагаа доголдсон - хост үүнийг хийх боломжгүй байсан. дахин ачаалахад өгөгдөл гэмтсэн. Үүнд халдлагын мөн чанарыг харуулсан илүү нарийвчилсан ул мөрийг багтаасан байж болох системийн бүртгэлүүд алдагдах зэрэг багтана. Энэ бүтэлгүйтлийн үед администраторууд эвдрэлийн талаар мэдээгүй байсан бөгөөд шинэ CentOS-д суурилсан орчинг ашиглан архивыг сэргээж, FTP таталтыг HTTP-ээр сольсон. Болсон явдлыг анзаараагүй тул халдвар авсан нөөцөөс авсан файлуудыг шинэ сервер рүү шилжүүлсэн.
Буултын боломжит шалтгааныг шинжлэхэд халдагчид хостинг ажилтнуудын дансны нууц үгийг тааж, серверт шууд физик хандалт хийх, бусад виртуал машинуудыг хянахын тулд гипервизор руу довтлох, вэб хяналтын самбарыг хакердах зэргээр нэвтэрсэн гэж таамаглаж байна. , ширээний компьютерт (RDP протоколыг ашигласан) алсын зайнаас хандах сессийг таслан зогсоох эсвэл Windows серверийн сул талыг ашиглах замаар. Хортой үйлдлүүд нь гаднаас дахин татаж авахын оронд одоо байгаа гүйцэтгэгдэх файлуудад өөрчлөлт оруулах скрипт ашиглан сервер дээр дотоод байдлаар хийгдсэн.
Төслийн зохиогч системд зөвхөн администратор хандах эрхтэй, хандалт нь нэг IP хаягаар хязгаарлагдаж, үндсэн Windows үйлдлийн систем нь шинэчлэгдэж, гадны халдлагаас хамгаалагдсан гэж мэдэгджээ. Үүний зэрэгцээ RDP болон FTP протоколуудыг алсаас хандахад ашигласан бөгөөд виртуал машин дээр аюултай байж болзошгүй программ хангамжийг ажиллуулж, хакердуулах боломжтой болсон. Гэсэн хэдий ч Pale Moon-ийн зохиогч нь үйлчилгээ үзүүлэгчийн виртуал машины дэд бүтцийг хангалтгүй хамгаалснаас (жишээлбэл, нэг удаа, стандарт виртуалчлалын удирдлагын интерфейсийг ашиглан найдвартай үйлчилгээ үзүүлэгчийн нууц үг сонгох замаар) хакердсан гэж үзэх хандлагатай байна. OpenSSL вэбсайт).
Эх сурвалж: opennet.ru