200.000 kadar web sitesi tarafından kullanılan İngiltere merkezli bir e-ticaret yazılımı üreticisi olan Fishpig, suçluların gizlice müşteri sistemlerine arka kapı girmesine izin veren dağıtım sunucusunda bir güvenlik ihlali keşfettikten sonra müşterileri mevcut tüm program uzantılarını yeniden yüklemeye veya güncellemeye çağırıyor.
Bilinmeyen tehdit aktörleri, Haziran ayında keşfedilen karmaşık bir arka kapı olan Rekoobe ile müşteri sistemlerine bulaşan bir tedarik zinciri saldırısı gerçekleştirmek için FishPig sistemlerinin kontrollerini kullandılar. Rekoobe, iyi huylu bir SMTP sunucusu gibi görünür ve Internet üzerinden bir saldırgandan gelen startTLS komutunun işlenmesiyle ilgili gizli komutlarla etkinleştirilebilir. Rekoobe etkinleştirildiğinde, tehdit aktörünün virüslü sunucuya uzaktan komutlar vermesini sağlayan bir ters kabuk sağlar.
FishPig’in baş geliştiricisi Ben Tideswell bir e-postada, “Saldırganın sistemlerimize nasıl eriştiğini hala araştırıyoruz ve şu anda bunun bir sunucu istismarı mı yoksa bir uygulama istismarı yoluyla mı olduğundan emin değiliz” dedi. “Saldırıya gelince, uygulamaların otomatik açıklarını görmeye oldukça alışığız ve belki de saldırganlar ilk başta sistemimize bu şekilde erişim sağladılar. Yine de içeri girdikten sonra, saldırılarını nereye ve nasıl yerleştireceklerini manuel olarak seçmiş olmalılar. faydalanmak.”
FishPig, Magento-WordPress entegrasyonlarının bir satıcısıdır. Magento, çevrimiçi pazarlar geliştirmek için kullanılan açık kaynaklı bir e-ticaret platformudur.
Tideswell, kötü amaçlı kodu içermeyen sunucularına yapılan son yazılım taahhüdünün 6 Ağustos’ta yapıldığını ve bu da ihlalin olası en erken tarihi olduğunu söyledi. İhlali keşfeden ve ilk bildiren güvenlik şirketi Sansec, izinsiz girişin 19 Ağustos’ta veya daha önce başladığını söyledi. onları ne olduğuna.”
Sansec tavsiyesi yayına girdikten sonra yayınlanan bir açıklamada FishPig, davetsiz misafirlerin erişimlerini, çoğu FishPig uzantısında bulunan Helper/License.php dosyasına kötü amaçlı PHP kodu enjekte etmek için kullandıklarını söyledi. Başlattıktan sonra, Rekoobe tüm kötü amaçlı yazılım dosyalarını diskten kaldırır ve yalnızca bellekte çalışır. Daha fazla gizlilik için, aşağıdakilerden birini taklit etmeye çalışan bir sistem süreci olarak gizlenir:
/usr/sbin/cron -f
/sbin/udevd -d
crond
denetlenmiş
/usr/sbin/rsyslogd
/usr/sbin/atd
/usr/sbin/acpid
dbus – arka plan programı – sistem
/sbin/init
/usr/sbin/chronyd
/usr/libexec/postfix/master
/usr/lib/packagekit/packagekitd
Arka kapı daha sonra 46.183.217.2’de bulunan bir sunucudan gelen komutları bekler. Sansec, sunucudan henüz kötüye kullanım tespit etmediğini söyledi. Güvenlik firması, tehdit aktörlerinin, saldırı forumlarında etkilenen mağazalara erişimi toplu olarak satmayı planlayabileceğinden şüpheleniyor.
Tideswell, yazılımının kaç tane aktif kurulumu olduğunu söylemeyi reddetti. Bu gönderi, yazılımın 200.000’den fazla indirme aldığını gösterir.
E-postada Tideswell şunları ekledi:
İstismar, kod şifrelenmeden hemen önce yerleştirildi. Kötü amaçlı kodu buraya yerleştirerek, sistemlerimiz tarafından anında gizlenir ve bakan herkesten gizlenir. Daha sonra herhangi bir müşteri gizlenmiş dosya hakkında soru sorarsa, dosyanın gizlenmiş olması gerektiği ve güvenli olduğu konusunda onlara güvence verirdik. Dosya daha sonra kötü amaçlı yazılım tarayıcıları tarafından algılanamadı.
Bu bizim geliştirdiğimiz özel bir sistemdir. Saldırganlar bunu öğrenmek için çevrimiçi olarak araştırmış olamazlar. İçeri girdikten sonra kodu gözden geçirmiş ve saldırılarını nereye uygulayacaklarına karar vermiş olmalılar. İyi seçmişler.
Bunların hepsi şimdi temizlendi ve bunun tekrar olmasını önlemek için birden fazla yeni savunma kuruldu. Şu anda tüm web sitemizi ve kod dağıtım sistemlerimizi her halükarda yeniden oluşturma sürecindeyiz ve halihazırda sahip olduğumuz (henüz yayında olmayan) yeni sistemlerin bu tür saldırılara karşı zaten savunmaları var.
Hem Sansec hem de FishPig, müşterilerin tüm modüllerin veya uzantıların virüslü olduğunu varsayması gerektiğini söyledi. FishPig, virüslü kodlardan hiçbirinin kalmadığından emin olmak için kullanıcıların tüm FishPig modüllerini hemen yükseltmelerini veya kaynaktan yeniden yüklemelerini önerir. Belirli adımlar şunları içerir:
FishPig Uzantılarını Yeniden Yükleyin (Sürümleri Koruyun)
rm -rf satıcı/balık domuzu && composer clear-cache && composer install –no-cache
FishPig Uzantılarını Yükselt
rm -rf satıcı/balık domuzu && oluşturucu önbelleği temizle && oluşturucu güncellemesi fishpig/* –no-cache
Truva Dosyasını Kaldır
Aşağıdaki komutu çalıştırın ve ardından sunucunuzu yeniden başlatın.
rm -rf /tmp/.varnish7684
Sansec, müşterilere ücretli Fishpig uzantılarını geçici olarak devre dışı bırakmalarını, yüklü kötü amaçlı yazılımları veya yetkisiz etkinlikleri algılamak için sunucu tarafı kötü amaçlı yazılım tarayıcısı çalıştırmalarını ve ardından yetkisiz arka plan işlemlerini sonlandırmak için sunucuyu yeniden başlatmalarını tavsiye etti.