最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

发现了一个针对 VMware ESXi 服务器的新后门

网络安全 快米云 来源:快米云 33浏览

发现了一个针对 VMware ESXi 服务器的新后门

  • Juniper Networks 研究人员发现了一个未记录的 Python 后门,其目标是 VMware ESXi 服务器。
  • 研究人员注意到一些迹象表明这种攻击是专门针对 ESXi 设计的。
  • 研究人员表示,植入的后门以其简单性、持久性和功能而著称。

瞻博网络研究人员宣布他们发现了一个未记录的 Python 后门,允许攻击者远程执行命令。最常见的是,攻击者利用 ESXi 的 OpenSLP 服务中的两个漏洞(CVE-2019-5544和CVE-2020-3992)来攻击未打补丁的 ESXi 服务器。由于受感染设备上的日志保留有限,因此很难确定是哪个漏洞使攻击者能够访问服务器。

Python后门

研究人员表示,他们发现了多个指标,表明该攻击是专门针对 ESXi 服务器设计的。选择文件的名称和位置是为了不引起对虚拟化主机的怀疑。它以VMware版权开头,与公开可用的示例一致,并取自现有的 Python 文件。

#!/bin/python

"""

Copyright 2011 - 2014 VMware, Inc. All rights reserved.

This module starts debug tools

"""

from http.server import BaseHTTPRequestHandler, HTTPServer

该脚本启动一个 Web 服务器,该服务器能够接受受密码保护的 POST 请求。它可以通过两种方式使用:

  • 它可以运行任意远程命令并将结果显示为网页。
  • 它可以向攻击者选择的主机和端口启动反向 shell。

该服务器绑定到本地 IP 地址 127.0.0.1 上的端口 8008,并接受 5 个误导性命名参数:

  • server_namespace:保护后门免受意外使用的密码
  • server_instance:“本地”(直接运行命令)或“远程”(反向 shell)
  • operation_id:要执行的命令(仅限“本地”)
  • envelope 和 path_set:分别用于反向 shell(“仅远程”)的主机和端口

减轻:

  • 尽快应用所有供应商补丁。
  • 将传入的网络连接限制为受信任的主机。
  • 检查上面详述的四个文件的内容和/或是否存在。默认情况下,local.sh 应仅包含注释和退出语句。
  • 检查所有修改过的持久性系统文件是否有意外更改。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 发现了一个针对 VMware ESXi 服务器的新后门