Bug-ul Shellshock continua sa faca victime: atacatorii exploateaza vulnerabilitati descoperite recent in shell-ul Bash pentru a infecta servere Linux cu un program malware sofisticat cunoscut sub numele de “Mayhem”.
Mayhem a fost descoperit la inceputul acestui an si a fost complet analizat de cercetatorii de la firma ruseasca de securitate Yandex. Acesta este instalat printr-un script PHP pe care atacatorii il incarca pe servere cu ajutorul conturilor FTP compromise, a vulnerabilitaților dintr-un site sau a datelor de logare in adminul site-ului, obtinute prin brute-force.
Componenta principala a lui Mayhem este un fisier cu extensia ELF (Executable and Linkable Format) care, dupa instalare, descarca plugin-uri suplimentare si le stocheaza intr-un sistem de fisiere ascuns si criptat. Plugin-urile permit atacatorilor sa utilizeze serverele infectate pentru a ataca si compromite site-urile gazduite pe acestea.
Cele mai multe distributii de Linux au emis deja patch-uri pentru vulnerabilitatile Shellshock, dar multe servere web, in special cele unmanaged, nu sunt configurate pentru a descarca update-uri in mod automat. De asemenea, exista multe produse si dispozitive integrate bazate pe Linux care includ servere web vulnerabile la Shellshock si care pot fi o posibila tinta pentru atacatori in cazul in care nu au fost descarcate ultimele patch-uri de securitate.
Pentru clientii megahost care detin servere dedicate sau VPS-uri am scris intr-un articol anterior ce masuri pot lua pentru a nu fi afectati de bug-ul Shellshock.