Shellshock tiếp tục gây chấn động: Những kẻ tấn công khai thác lỗ hổng bảo mật mới được phát hiện trong trình biên dịch dòng lệnh Bash để lây nhiễm sang các máy chủ Linux với một chương trình phần mềm độc hại phức tạp được gọi là Mayhem.
Mayhem đã được phát hiện vào đầu năm nay và đã được phân tích kỹ lưỡng bởi các nhà nghiên cứu từ công ty Internet của Nga, Yandex. Nó được cài đặt thông qua một script PHP mà kẻ tấn công tải lên máy chủ bằng cách sử dụng mật khẩu FTP bị đánh cắp, thông qua lỗ hổng website hoặc các thông tin quản lý trang web.
Botnet Mayhem (Ảnh minh họa từ Internet)
Thành phần chính của Mayhem là một tập tin thư viện ELF độc hại (Executable and Linkable Format), sau khi cài đặt, tải các plug-in và lưu trữ chúng trong một tập tin hệ thống ẩn đi và được mã hóa. Các plug-in cho phép kẻ tấn công sử dụng các máy chủ mới lây nhiễm để tấn công các trang web khác.
Trong tháng Bảy, các nhà nghiên cứu của Yandex ước tính rằng botnet bao gồm khoảng 1.400 máy chủ bị nhiễm có kết nối với hai máy chủ ra lệnh và điều khiển riêng biệt.
Các nhà nghiên cứu từ tổ chức nghiên cứu độc lập Malware Must Die (MMD) báo cáo hồi đầu tuần trước rằng các tác giả của Mayhem đã thêm lỗ hổng Shellshock vào botnet.
Shellshock là tên gọi chung cho một số lỗ hổng được phát hiện gần đây trong trình biên dịch dòng lệnh Linux Bash.
Shellshock có thể bị khai thác để thực thi mã từ xa trên các máy chủ thông qua một số yếu tố tấn công bao gồm cả CGI (Common Gateway Interface), OpenSSH, DHCP (Dynamic Host Configuration Protocol) và thậm chí OpenVPN.
Các cuộc tấn công Shellshock có nguồn gốc từ botnet Mayhem nhằm vào máy chủ web với sự hỗ trợ CGI. Botnet thăm dò các máy chủ Web để xác định xem có lỗ hổng Bash và sau đó khai thác chúng để thực hiện một script Perl, theo các nhà nghiên cứu MMD.
Tuy nhiên, lý thuyết này được hỗ trợ bởi thực tế là một số cuộc tấn công Shellshock có cùng địa chỉ IP liên quan đến các botnet Mayhem hiện có bên cạnh các địa chỉ IP mới từ một loạt các quốc gia như Anh, Indonesia, Ba Lan, Áo, Úc và Thụy Điển. MMD đã chia sẻ các thông tin đã thu thập được với các đội phản ứng máy tính khẩn cấp quốc gia (certs).
Hầu hết các nhà phân phối Linux đã phát hành bản vá cho các lỗ hổng Shellshock nhưng nhiều máy chủ Web, đặc biệt là những máy chủ tự quản lý, không được cấu hình để cài bản cập nhật tự động. Ngoài ra, còn có rất nhiều sản phẩm doanh nghiệp dựa trên Linux và các thiết bị nhúng bao gồm máy chủ Web dễ bị tổn thương với lỗ hổng Shellshock. Đây cũng có thể là một mục tiêu nếu các bản vá lỗi cho chúng không cập nhật hoặc chưa có.
Theo CIO
Thêm bình luận