Критическое обновление Vesta и новые уязвимости
В начале октября на официальном форуме поддержки Vesta начали появляться сообщения об очередной волне взломов серверов с установленной и обновленной панелью. Прошло чуть больше недели и наконец появились официальные заявления команды разработчиков с описанием сложившейся ситуации, а также был срочно выпущен новый релиз, включающий важные обновления безопасности.
Давайте попробуем разобраться, что произошло. К сожалению, информация на официальном сайте недостаточно подробная, но определенные выводы можно сделать.
Одним из ключевых источников атаки был модифицированный скрипт инсталляции панели. Разработчики панели признали, что один из серверов инфраструктуры был скомпрометирован и злоумышленники изменили код одного из компонентов дистрибутива. Следуя новомодным практикам, команда Vesta собирает информацию об инсталляциях для статистических целей. Модифицированный хакерами скрипт отправлял в открытом виде пароль администратора. Исходя из этого мы настоятельно рекомендуем незамедлительно сменить пароль пользователей admin и root в том случае, если вы используете Vesta.
Кроме того, были идентифицированы модули, размещенные злоумышленниками на скомпрометированных системах. Следует проверить наличие следующих признаков:
- Файл /usr/bin/dhcprenew — многофункциональный троянский модуль, который может использовать зараженную систему для организации атак или обеспечения несанкционированного доступа с правами администратора.
- Запущенный троянский модуль мимикрирует под системный процесс. В списке процессов следует поискать процесс kworker/1:1, он может выглядеть примерно так: 123root 3308 0.0 0.0 272 52 ? Ss Sep24 0:00 [kworker/1:1]root 3362 0.0 0.1 5596 1296 ? Ss Sep24 0:09 [kworker/1:1]root 3363 0.0 0.0 5248 940 ? S Sep24 0:12 \_ [kworker/1:1]
Если один из этих признаков присутствует, следует незамедлительно удалить троянские модули, обновить систему и панель, сменить пароли и проверить файловую систему на другие признаки заражения.
Ниже — официальный список изменений в bugfix-релизе Vesta. Обязательно следует установить эту версию.
1 2 3 4 5 6 7 8 | Release notes for 0.9.8-23 - Security fix for timing attack on password reset. Thanks to https://arcturussecurity.com - Security fix for v-open-fs-config. Its visibility is limited to /etc and /var/lib directories - Security check for/usr/bin/dhcprenew binary. If found checker notifies server administrator - Security improvement for sudo. It is now limited to vesta scripts only and doesn't allow admin to execute any other command - Security improvement: admin password and database passwords are generated individually - Security improvement: new installer doesn't use c.vestacp.com as source for the configuration files. Configs are bundled inside vesta package - Security improvement: installer doesn't send any information to vestacp.com after successful installation. It used to send distro name for usage statistics. |