.
Os criminosos estão explorando vulnerabilidades antigas para implantar o malware Androxgh0st e construir uma botnet para roubo de credenciais de nuvem, de acordo com o FBI e a Agência de Segurança Cibernética e de Infraestrutura (CISA).
Em um alerta conjunto emitido na terça-feira, as agências governamentais dos EUA disseram que o malware com script Python tem como alvo principal arquivos .env que contêm credenciais de usuário para AWS, Microsoft Office 365, SendGrid e Twilio. Depois de escanear e explorar essas credenciais roubadas, o Androxgh0st também pode ser usado para implantar web shells, executar código remotamente, roubar dados confidenciais e até mesmo criar novos usuários e instâncias da AWS, fomos informados.
“Por exemplo, quando os agentes de ameaças identificam e comprometem com sucesso as credenciais da AWS de um site vulnerável, eles foram observados tentando criar novos usuários e políticas de usuário”, alertam os federais. “Além disso, foram observados atores do Andoxgh0st criando novas instâncias da AWS para usar na condução de atividades de varredura adicionais.”
Os malfeitores que implantam o Androxgh0st gostam de usar três CVEs antigos (e há muito corrigidos) nesses ataques de roubo de credenciais: CVE-2017-9841, uma vulnerabilidade de injeção de comando no PHPUnit; CVE-2018-15133, um bug de desserialização inseguro na estrutura do aplicativo web Laravel que leva à execução remota de código; e CVE-2021-41773, uma vulnerabilidade de passagem de caminho no servidor HTTP Apache que também leva à execução remota de código.
CVE-2017-9841 permite a execução remota de código PHP por meio de uma solicitação HTTP POST maliciosa e download de arquivos para o sistema que hospeda o site comprometido.
“Os atores da ameaça são ainda capazes de criar uma página falsa (ilegítima) acessível através do URI para fornecer acesso backdoor ao site”, observam as autoridades. “Isso permite que os agentes de ameaças baixem arquivos maliciosos adicionais para suas operações e acessem bancos de dados”.
O malware também procura sites que usam o aplicativo Web Laravel com arquivos .env expostos e, em seguida, emite uma solicitação GET para o URI /.env ou uma solicitação POST para o mesmo URI e tenta roubar credenciais e tokens.
“Uma resposta bem-sucedida de qualquer um desses métodos permite que os atores da ameaça procurem nomes de usuário, senhas e/ou outras credenciais pertencentes a serviços como e-mail (via SMTP) e contas AWS”, de acordo com o FBI e a CISA.
O terceiro método, que explora uma vulnerabilidade em servidores web que executam o Apache HTTP Server versões 2.4.49 ou 2.4.50 para lançar um ataque de passagem de caminho, os criminosos verificam URLs que não estão protegidos pela configuração “solicitação de todos negados” e não possuem Scripts Common Gateway Interface (CGI) ativados. Isso permite ataques de execução remota de código.
O alerta de segurança do governo inclui uma lista de indicadores de comprometimento do Androxgh0st – que vale a pena ler. Além disso, o FBI e a CISA sugerem várias mitigações para reduzir o risco.
Uma tática específica para reduzir o risco de infecção pelo Androxgh0st é garantir que os servidores Apache não executem as versões 2.4.49 ou 2.4.50, que são vulneráveis ao CVE-2021-41773.
Além disso: verifique se a configuração padrão para todos os URIs é negar todas as solicitações, a menos que haja um motivo legítimo para que ele esteja acessível.
E uma única vez para credenciais de nuvem armazenadas anteriormente, bem como regularmente para outros tipos de credenciais que não podem ser removidos, revise quaisquer plataformas ou serviços que listem credenciais em arquivos .env, revisando-os para uso não autorizado.
E, como sempre, mantenha todos os sistemas operacionais, software e firmware atualizados. Sempre um bom conselho, mas raramente é feito no mundo real. ®
.
