FBI と CISA が発行した新しいセキュリティ警告は、3 つの既知の脆弱性を悪用して Microsoft および Amazon Web Services アカウントをターゲットにする新しいボットネットについて警告しています。
FBI は、Androxgh0st マルウェアを利用した新しいボットネットについてインターネット ユーザーに警告しました。後者はコンピュータとサーバーをスキャンして、脆弱性 CVE-2017-9841、CVE-2021-41773、CVE-2018-15133 により、脆弱なシステム上でリモートでコードが実行される可能性があります。
攻撃者は Androxgh0st を使用して、Microsoft や AWS アカウントのログイン認証情報などの機密情報を含む .env ファイルを盗みます。これらの資格情報は、被害者が所有するクラウド リソースやデータベースにアクセスするために使用できます。
こちらもお読みください–この危険なマルウェアは、発表された終了からわずか 3 か月後に復活します
Androxgh0st は、Simple Mail Protocol (SMTP) を使用して、侵害されたデバイス上の電子メール アカウントの送信制限をチェックすることもできます。制限が十分に高い場合、マルウェアはフィッシングやスパム キャンペーンを開始して拡散または拡散する可能性があります。より多くのユーザーに資格情報を提供してもらいます。
さらに、攻撃者は Microsoft および AWS の認証情報を使用して、侵害されたサーバー上でホストされている Web サイト上に偽のページを作成する可能性があります。これらの偽のページは、他のデータにアクセスしたり、他の訪問者を Androxgh0st に感染させるためのバックドアとして機能する可能性があります。
FBI と CISA は各組織に対し、このボットネットから身を守るために直ちに行動を起こすよう求めています。すべてのデバイスのオペレーティング システム、ソフトウェア、ファームウェアを更新することを推奨しています。また、Apache サーバーが CVE-2021-41773 に対して脆弱なバージョン 2.4.49 または 2.4.50 を使用していないことを確認します。
また、特に許可する必要がない限り、デフォルトですべてのリクエストを拒否するように URI を構成するよう組織にアドバイスしています。さらに、Laravel アプリケーションをデバッグ モードまたはテスト モードにすべきではなく、クラウド認証情報を .env ファイルに保存すべきではないとも示唆しています。
FBIとCISAが次のように警告しているように、私たち自身を守ることが緊急に必要です。CVE-2018-15133 脆弱性はボットネットによって積極的に悪用されています。この脆弱性により、攻撃者は特別に作成されたリクエストをアプリケーションに送信することにより、任意のコードを実行することができます。
