پيلي مون برائوزر جو ليکڪ archive.palemoon.org سرور جي سمجھوتي جي باري ۾ معلومات، جيڪو اڳئين برائوزر جي رليز جو ذخيرو محفوظ ڪري ٿو ۽ ورجن 27.6.2 سميت. هيڪ جي دوران، حملي آورن سڀني قابل عمل فائلن کي متاثر ڪيو پيلي مون انسٽالرز سان ونڊوز لاءِ سرور تي موجود مالويئر سان. ابتدائي انگن اکرن موجب، مالويئر جو متبادل 27 ڊسمبر 2017 تي ڪيو ويو، ۽ صرف 9 جولاء، 2019 تي معلوم ڪيو ويو، يعني. هڪ اڌ سال تائين اڻڄاتل رهيو.
مسئلو سرور هن وقت تحقيق لاءِ آف لائن آهي. سرور جنهن تان موجوده رليز ورهايا ويا
پيلي مون متاثر نه ٿيو آهي، مسئلو صرف آرڪائيو مان نصب ٿيل پراڻي ونڊوز ورزن تي اثر انداز ٿئي ٿو (ريليز آرڪائيو ڏانهن منتقل ڪيا ويا آهن جيئن نوان ورزن جاري ڪيا وڃن). هيڪ دوران، سرور هلائي رهيو هو ونڊوز ۽ هلائي رهيو هو هڪ ورچوئل مشين ۾ جيڪو آپريٽر Frantech/BuyVM کان ڪرائي تي ورتو ويو. اهو اڃا تائين واضح ناهي ته ڪهڙي قسم جي ڪمزوري جو استحصال ڪيو ويو ۽ ڇا اهو ونڊوز لاءِ مخصوص هو يا ڪجهه هلندڙ ٽئين پارٽي سرور ايپليڪيشنن کي متاثر ڪيو.
رسائي حاصل ڪرڻ کان پوء، حملي ڪندڙن کي منتخب طور تي متاثر ڪيو ويو سڀني exe فائلن سان لاڳاپيل پيلي مون (انسٽالرز ۽ خود ڪڍڻ واري آرڪائيوز) ٽرجن سافٽ ويئر سان. ڪلپ بورڊ تي bitcoin پتي کي تبديل ڪندي cryptocurrency چوري ڪرڻ جو مقصد. زپ آرڪائيو اندر قابل عمل فائلون متاثر نه ٿيون. انسٽالر ۾ تبديليون شايد استعمال ڪندڙ جي طرفان معلوم ڪيون ويون آهن ڊجيٽل دستخطن يا فائلن سان منسلڪ SHA256 هيش کي چيڪ ڪندي. استعمال ٿيل مالويئر پڻ ڪامياب آهي سڀ کان وڌيڪ موجوده antiviruses.
26 مئي، 2019 تي، حملي ڪندڙن جي سرور تي سرگرمي دوران (اهو واضح ناهي ته ڇا اهي ساڳيا حملي آور هئا جيئن پهرين هيڪ ۾ هئا يا ٻيا)، archive.palemoon.org جي عام آپريشن ۾ خلل پئجي ويو - ميزبان ناڪام ٿي ويو ريبوٽ ڪرڻ، ۽ ڊيٽا خراب ٿي وئي. ھن ۾ سسٽم لاگز جو نقصان شامل آھي، جنھن ۾ وڌيڪ تفصيلي نشان شامل ٿي سگھيا آھن جيڪي حملي جي نوعيت جي نشاندهي ڪن ٿا. هن ناڪامي جي وقت، منتظمين سمجھوتي کان بي خبر هئا ۽ آرڪائيو کي بحال ڪيو آپريشن لاء نئين CentOS-based ماحول ۽ HTTP سان ايف ٽي پي ڊائون لوڊ کي تبديل ڪندي. جيئن ته واقعو نوٽيس نه ڪيو ويو، بيڪ اپ مان فائلون جيڪي اڳ ۾ ئي متاثر ٿيل هئا نئين سرور ڏانهن منتقل ڪيا ويا.
سمجھوتي جي ممڪن سببن جو تجزيو ڪندي، اهو فرض ڪيو ويو آهي ته حملي آورن هوسٽنگ اسٽاف جي اڪائونٽ تائين پاسورڊ جو اندازو لڳائي، سرور تائين سڌو جسماني رسائي حاصل ڪرڻ، ٻين ورچوئل مشينن تي ڪنٽرول حاصل ڪرڻ لاء هائپر وائزر تي حملو ڪرڻ، ويب ڪنٽرول پينل کي هيڪ ڪرڻ. ، ريموٽ ڊيسڪ ٽاپ سيشن کي روڪيندي (RDP پروٽوڪول استعمال ڪيو ويو) يا ونڊوز سرور ۾ هڪ ڪمزوري جو استحصال ڪندي. خراب ڪارناما مقامي طور تي سرور تي اسڪرپٽ استعمال ڪندي ڪيا ويا ته موجوده ايگزيڪيوٽو فائلن ۾ تبديليون ڪرڻ بجاءِ انهن کي ٻاهران ٻيهر ڊائون لوڊ ڪرڻ جي.
پروجيڪٽ جو ليکڪ دعويٰ ڪري ٿو ته صرف هن کي سسٽم تائين ايڊمنسٽريٽر جي رسائي هئي، رسائي صرف هڪ IP پتي تائين محدود هئي، ۽ هيٺيون ونڊوز او ايس اپڊيٽ ڪيو ويو هو ۽ ٻاهرين حملن کان محفوظ هو. ساڳئي وقت، RDP ۽ FTP پروٽوڪول ريموٽ رسائي لاءِ استعمال ڪيا ويا، ۽ ممڪن طور تي غير محفوظ سافٽ ويئر ورچوئل مشين تي شروع ڪيو ويو، جيڪو هيڪنگ جو سبب بڻجي سگهي ٿو. تنهن هوندي به، پيلي مون جو ليکڪ اهو مڃڻ لاءِ مائل آهي ته هيڪ مهيا ڪندڙ جي ورچوئل مشين انفراسٽرڪچر جي ناکافي تحفظ جي ڪري انجام ڏنو ويو آهي (مثال طور، هڪ وقت ۾، معياري ورچوئلائيزيشن مئنيجمينٽ انٽرفيس استعمال ڪندي غير محفوظ فراهم ڪندڙ پاسورڊ جي چونڊ ذريعي. OpenSSL ويب سائيٽ).
جو ذريعو: opennet.ru