सॉफ़्टवेयर निर्माता का उल्लंघन पिछले दरवाजे से 200,000 सर्वरों तक होता था

एक कार्टून आदमी इकाई और शून्य के एक सफेद क्षेत्र में दौड़ता है।

200, 000 वेबसाइटों द्वारा उपयोग किए जाने वाले ई-कॉमर्स सॉफ़्टवेयर के यूके स्थित निर्माता फिशपिग, ग्राहकों से अपने वितरण सर्वर के सुरक्षा उल्लंघन की खोज के बाद सभी मौजूदा प्रोग्राम एक्सटेंशन को पुनर्स्थापित या अपडेट करने का आग्रह कर रहा है, जिससे अपराधियों को गुप्त रूप से पिछले दरवाजे के ग्राहक सिस्टम की अनुमति मिलती है।

अज्ञात खतरे वाले अभिनेताओं ने आपूर्ति श्रृंखला हमले को अंजाम देने के लिए फिशपिग के सिस्टम पर अपने नियंत्रण का इस्तेमाल किया, जिससे ग्राहक प्रणाली संक्रमित हो गई रेकूबे, जून में खोजा गया एक परिष्कृत पिछला दरवाजा। Rekoobe एक सौम्य SMTP सर्वर के रूप में सामने आता है और इंटरनेट पर एक हमलावर से startTLS कमांड को संभालने से संबंधित गुप्त कमांड द्वारा सक्रिय किया जा सकता है। एक बार सक्रिय होने के बाद, रेकोबे एक रिवर्स शेल प्रदान करता है जो खतरे के अभिनेता को संक्रमित सर्वर को दूरस्थ रूप से कमांड जारी करने की अनुमति देता है।

फिशपिग के प्रमुख डेवलपर बेन टिड्सवेल ने एक ईमेल में लिखा, “हम अभी भी जांच कर रहे हैं कि हमलावर ने हमारे सिस्टम तक कैसे पहुंचा और वर्तमान में यह सुनिश्चित नहीं है कि यह सर्वर शोषण या एप्लिकेशन शोषण के माध्यम से था या नहीं।” “हमले के लिए ही, हम अनुप्रयोगों के स्वचालित कारनामों को देखने के लिए काफी अभ्यस्त हैं और शायद इसी तरह हमलावरों ने शुरू में हमारे सिस्टम तक पहुंच प्राप्त की। हालांकि एक बार अंदर जाने के बाद, उन्होंने यह चुनने के लिए एक मैन्युअल दृष्टिकोण लिया होगा कि उन्हें कहां और कैसे रखा जाए। शोषण करना।”

फिशपिग मैगेंटो-वर्डप्रेस इंटीग्रेशन का विक्रेता है। मैगेंटो एक ओपन सोर्स ई-कॉमर्स प्लेटफॉर्म है जिसका इस्तेमाल ऑनलाइन मार्केटप्लेस विकसित करने के लिए किया जाता है।

Tideswell ने कहा कि उसके सर्वर के लिए किया गया अंतिम सॉफ़्टवेयर कमिट जिसमें दुर्भावनापूर्ण कोड शामिल नहीं था, 6 अगस्त को बनाया गया था, जिससे उल्लंघन की संभावना जल्द से जल्द संभव हो गई। Sansec, सुरक्षा फर्म जिसने उल्लंघन की खोज की और पहले इसकी सूचना दीने कहा कि घुसपैठ 19 अगस्त को या उससे पहले शुरू हुई थी। टिड्सवेल ने कहा कि फिशपिग ने पहले ही “उन सभी को ईमेल भेज दिए हैं जिन्होंने पिछले 12 हफ्तों में फिशपिग.को.यूके से कुछ भी डाउनलोड किया है, जो उन्हें हुआ है।”

में एक प्रकटीकरण Sansec एडवाइजरी के लाइव होने के बाद प्रकाशित, फिशपिग ने कहा कि घुसपैठियों ने दुर्भावनापूर्ण PHP कोड को एक हेल्पर/लाइसेंस.php फ़ाइल में इंजेक्ट करने के लिए अपनी पहुंच का उपयोग किया जो कि अधिकांश फिशपिग एक्सटेंशन में शामिल है। लॉन्च करने के बाद, Rekoobe डिस्क से सभी मैलवेयर फ़ाइलों को हटा देता है और पूरी तरह से मेमोरी में चलता है। आगे चुपके के लिए, यह एक सिस्टम प्रक्रिया के रूप में छिप जाता है जो निम्न में से किसी एक की नकल करने की कोशिश करता है:

/usr/sbin/cron -f
/sbin/udevd -d
क्रोनडो
लेखा परीक्षा
/usr/sbin/rsyslogd
/usr/sbin/atd
/usr/sbin/acpid
dbus-daemon –system
/sbin/init
/usr/sbin/chronyd
/usr/libexec/पोस्टफिक्स/मास्टर
/usr/lib/packagekit/packagekitd

पिछला दरवाजा 46.183.217.2 पर स्थित सर्वर से कमांड की प्रतीक्षा करता है। Sansec ने कहा कि उसे अभी तक सर्वर से अनुवर्ती दुरुपयोग का पता नहीं चला है। सुरक्षा फर्म को संदेह है कि धमकी देने वाले अभिनेता हैकिंग मंचों पर प्रभावित दुकानों तक पहुंच बेचने की योजना बना सकते हैं।

Tideswell ने यह कहने से इनकार कर दिया कि उसके सॉफ़्टवेयर के कितने सक्रिय इंस्टॉलेशन हैं। ये पद इंगित करता है कि सॉफ़्टवेयर को 200,000 से अधिक डाउनलोड प्राप्त हुए हैं।

ईमेल में, Tideswell जोड़ा गया:

कोड को एन्क्रिप्ट किए जाने से ठीक पहले शोषण को रखा गया था। दुर्भावनापूर्ण कोड को यहां रखने से, यह हमारे सिस्टम द्वारा तुरंत अस्पष्ट हो जाएगा और देखने वाले किसी भी व्यक्ति से छिपा दिया जाएगा। यदि किसी क्लाइंट ने अस्पष्ट फ़ाइल के बारे में पूछताछ की, तो हम उन्हें आश्वस्त करेंगे कि फ़ाइल को अस्पष्ट और सुरक्षित माना जाता था। फ़ाइल तब मैलवेयर स्कैनर्स द्वारा पता लगाने योग्य नहीं थी।

यह एक कस्टम सिस्टम है जिसे हमने विकसित किया है। इसके बारे में पता लगाने के लिए हमलावर इस पर ऑनलाइन शोध नहीं कर सकते थे। एक बार अंदर जाने के बाद, उन्होंने कोड की समीक्षा की होगी और निर्णय लिया होगा कि अपने हमले को कहां तैनात किया जाए। उन्होंने अच्छा चुना।

यह सब अब साफ कर दिया गया है और इसे फिर से होने से रोकने के लिए कई नए बचाव स्थापित किए गए हैं। हम वर्तमान में अपनी पूरी वेबसाइट और कोड परिनियोजन प्रणालियों के पुनर्निर्माण की प्रक्रिया में हैं और हमारे पास पहले से मौजूद नए सिस्टम (जो अभी तक जीवित नहीं हैं) में पहले से ही इस तरह के हमलों के खिलाफ सुरक्षा है।

Sansec और FishPig दोनों ने कहा कि ग्राहकों को यह मान लेना चाहिए कि सभी मॉड्यूल या एक्सटेंशन संक्रमित हैं। फिशपिग अनुशंसा करता है कि उपयोगकर्ता तुरंत सभी फिशपिग मॉड्यूल को अपग्रेड करें या उन्हें स्रोत से पुनर्स्थापित करें ताकि यह सुनिश्चित हो सके कि कोई भी संक्रमित कोड नहीं रहता है। विशिष्ट चरणों में शामिल हैं:

फिशपिग एक्सटेंशन को पुनर्स्थापित करें (संस्करण रखें)

आरएम-आरएफ विक्रेता/फिशपिग && कंपोजर क्लियर-कैश && कंपोजर इंस्टाल –नो-कैश

फिशपिग एक्सटेंशन अपग्रेड करें

आरएम-आरएफ विक्रेता/फिशपिग && कंपोजर क्लियर-कैश && कंपोजर अपडेट फिशपिग/* –नो-कैश

ट्रोजन फ़ाइल हटाएं

नीचे दिए गए आदेश को चलाएँ और फिर अपने सर्वर को पुनरारंभ करें।

आरएम-आरएफ /tmp/.varnish7684

Sansec ने ग्राहकों को किसी भी भुगतान किए गए फिशपिग एक्सटेंशन को अस्थायी रूप से अक्षम करने, किसी भी स्थापित मैलवेयर या अनधिकृत गतिविधि का पता लगाने के लिए सर्वर-साइड मैलवेयर स्कैनर चलाने और फिर किसी भी अनधिकृत पृष्ठभूमि प्रक्रियाओं को समाप्त करने के लिए सर्वर को पुनरारंभ करने की सलाह दी।

amar-bangla-patrika