新しいSysrv-K

ほぼこもセキュリティニュース By Terilogy Worx

Sysrvはボットネットです。
Sysrvは2020年の年末ごろから動作が観測されているものです。
機能が追加された新しいSysrvの活動が確認されています。
現在のSysrvはこういう感じです。

  • Spring Cloud Gatewayライブラリの脆弱性を悪用
    CVE-2022-22947の悪用です。
    これはコードインジェクションが成り立ってしまう脆弱性ですので、パッチが適用されていないホストでのリモートコード実行が可能となるものです。

     

  • WordPressの脆弱性の悪用
    WordPress構成ファイルからデータベースの資格情報を盗みます。
    多くのウェブサーバはそこで動作するアプリケーションで使うデータを連携利用するデータベースサーバに保持し動作するデザインになっています。
    その連係動作するデータベースの資格情報を盗みます。
    資格情報が入手できた場合、データベースサーバが追加侵害の対象となります。

     

  • SSHの秘密鍵を盗む
    このマルウェアはSSHの秘密鍵情報も盗み出します。
    そしてこれを使ってブルートフォース攻撃を開始し、感染を広げます。

     

  • Moneroをマイニング
    こうして広がったマルウェアは、その場所でMoneroのマイニングを実施します。

このマルウェアで悪用されている脆弱性はいずれもすでにパッチが提供されているものです。
正しく運用され適切なタイミングでパッチが適用されていれば、この脅威からは安全です。
運用のほころびが危険の始まりです。

それと、こういうものを見ると、通信制御の方向性の重要性を考えてしまいますね。
SSHは暗号化通信ができるツールで広く使用されています。
暗号化して通信できるから安全ということなのかもしれませんが、それは使い方に依存します。
あなたは公開しているサーバにてSSHの暗号鍵を生成し、そこからいろいろな場所に接続できるようにして使っていますか?
それができる状態で使っている場合、そのサーバが侵害されるとそこから接続できるサーバも同じく脅威にさらされることになります。
システム構成の都合上こういった仕組みをどう構成するのかについて選択肢がないケースももちろんあるのだとは思います。
しかし、単に便利のために相互に通信できるように構成してしまっているケースもあったりしませんか?
今一度、どこからどこへ接続できるようになっているか、棚卸ししてみようと思います。

参考記事(外部リンク):Microsoft: Sysrv botnet targets Windows, Linux servers with
new exploits

www.bleepingcomputer.com/news/security/microsoft-sysrv-botnet-targets-windows-linux-servers-with-new-exploits/