Elasix VoIP服務器遭攻擊，超50萬設備被感染

近期，安全研究人員檢測到Elasix VoIP服務器遭到大規模網絡攻擊，該攻擊使用CVE-2021-45461遠程代碼執行漏洞，植入PHP Web shell實現遠程控制，還特意修改文件時間戳試圖”融入環境“。僅僅3個月時間，已經有超50萬設備被感染。

關于Elastix

Elastix 是用于統一通信（Internet 協議專用分支交換 [IP PBX]、電子郵件、即時消息、傳真）的服務器軟件，可與FreePBX的Digium 電話模塊一起使用。

事件詳情

威脅分析人員發現了一場針對 Elastix VoIP 電話服務器的大規模活動，在三個月內有超過 500,000 個惡意軟件樣本。

自 2021年12 月以來，攻擊者一直在利用遠程代碼執行 (RCE) 漏洞 （編號：CVE-2021-45461，嚴重性等級 9.8）。據調查分析，最近的活動似乎與安全問題有關。

Palo Alto Networks 的 Unit 42 安全研究人員表示，攻擊者的通過植入一個 PHP Web shell，可以在受感染的通信服務器上運行任意命令。在報告中研究人員表示，威脅者在 2021 年 12 月至 2022 年 3 月期間部署了“該家族的超過 500,000 個獨特的惡意軟件樣本”。目前該活動還很活躍，與網絡安全公司 Check Point的研究人員報告的 2020 年另一項行動有一些相同的地方。

攻擊細節研究人員觀察到兩個攻擊組使用不同的初始利用腳本來刪除小型 shell 腳本。該腳本在目標設備上安裝 PHP 后門，并創建 root 用戶帳戶，并通過計劃任務確保持久性。用于初始妥協的兩個腳本之一 (Palo Alto Networks)“這個 dropper 還試圖通過將已安裝的 PHP 后門文件的時間戳偽裝成系統上已經存在的已知文件的時間戳來融入現有環境，”安全研究人員指出。

這兩個組織的攻擊者的 IP 地址顯示位于荷蘭，而 DNS 記錄顯示了幾個俄羅斯不良網站的鏈接。目前，部分有效載荷交付基礎設施仍保持在線和運行狀態。由第一個腳本創建的計劃任務，每??分鐘運行一次，以獲取經過 base64 編碼的 PHP Web shell，并且可以管理傳入 Web 請求中的以下參數：

md5 - 用于遠程登錄和 Web shell 交互的 MD5 身份驗證哈希。

admin – 在 Elastic 和 Freepbx 管理員會話之間進行選擇。

cmd - 遠程運行任意命令

call – 從 Asterisk 命令行界面 (CLI) 啟動呼叫

Web shell 還具有一組額外的八個內置命令，用于文件讀取、目錄列表和 Asterisk 開源 PBX 平臺的偵察。Unit42 的報告包括有關如何丟棄有效載荷的技術細節以及避免在現有環境中檢測到的一些策略。此外，危害指標列表顯示了惡意軟件使用的本地文件路徑、唯一字符串、shell 腳本的哈希值以及承載有效負載的公共 URL。

通過哪些途徑來避免服務器被攻擊或減少被攻擊的概率？

1、設置復雜的密碼，建議密碼同時包含字符、數字和字母，這樣的密碼比較難破解；

2、定期分析系統日志；

3、謹慎開放缺乏安全保障的應用和端口；

4、實施文件和目錄的控制權限；

5、不斷完善服務器系統的安全性能，及時更新系統補丁；

6、做好數據的備份工作，有了完整的數據備份，遭到攻擊或系統出現故障時，才能夠迅速恢復系統和數據；

7、謹慎利用共享軟件, 共享軟件和免費軟件中往往藏有后門及陷阱，如果不做好檢測，可能會造成嚴重損失。

服務器是企業不可缺少的資源之一，服務器遭到大規模網絡攻擊，會造成很大的損失。通過以上的7個途徑，可以避免服務器被攻擊，或者減少被攻擊的概率。從以上的網絡攻擊事件中不難發現，做好服務器安全防護，保護好數據安全很重要。

來源：sunshine

原文鏈接：https://www.hake.cc/page/article/4351.html