Хакеры взламывают Linux-серверы через уязвимость в web-хостинговом ПО

Хакеры взламывают Linux-серверы через уязвимость в web-хостинговом ПО

Злоумышленники сканируют интернет в поисках установок CWP и через старую уязвимость устанавливают на атакуемый сервер бэкдор и руткит.

Профессиональная киберпреступная группировка атакует Linux-серверы, устанавливая на них руткиты и бэкдоры через уязвимость в web-хостинговом ПО.

Если говорить точнее, злоумышленники взламывают Control Web Panel (старое название CentOS Web Panel) – ПО, работающее по одному принципу с более известным инструментом cPanel, использующимся web-хостинговыми компаниями и крупными предприятиями для хостинга и управления масштабной серверной инфраструктурой.

Как минимум с февраля нынешнего года киберпреступная группировка сканирует интернет в поисках установок CWP, с помощью эксплоита для старой уязвимости получает доступ к панели администрирования и устанавливает бэкдор Facefish. Его главным предназначением является сбор информации об устройстве, выполнение произвольных команд и похищение учетных данных SSH с инфицированного хоста.

В ходе атак, обнаруженных исследователями компаний Juniper и Qihoo 360 , также используется редкий руткит, который злоумышленники устанавливают на взломанных Linux-серверах с целью обеспечения персистентности. Тем не менее, несмотря на большое количество времени, прошедшего с момента начала атак, на взломанных серверах не наблюдается практически никакой активности. К примеру, хакеры не установили майнеры криптовалюты, как того можно было ожидать.

По мнению специалистов Juniper, целью злоумышленников было создание ботнета, и они намерены продавать или сдавать в аренду доступ к сетям взломанных компаний тем, кто предложит наиболее выгодную цену. Поскольку CWP обычно используется для управления большими и важными сетями серверов, доступ к любой такой системе будет высоко цениться у киберпреступников, в частности, у операторов вымогательского ПО.

Ни Juniper, ни Qihoo 360 не сообщили CVE-идентификатор уязвимости, о которой идет речь (также неизвестно, есть ли у нее вообще CVE), зато представили свои эксплоиты. IT-специалисты предприятий, использующих Control Web Panel, могут проанализировать эксплоиты и настроить в своих межсетевых экранах соответствующие политики для защиты от возможных кибератак.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!