Összefoglaló 2015-11-09

Titkosító vírus fenyegeti a Linux felhasználókat

2015-11-06

Encryption ransomware threatens Linux users

Az orosz Doctor Web (Dr.Web) antivírus cég arra figyelmezteti felhasználóit, hogy felbukkant egy, a CryptoLocker és társaihoz hasonló funkcionalitást mutató linuxos ransomware. A trojai vírus által titkosított könyvtárakból ítélve a cyber bűnözők fő célpontja a webszervert üzemeltető honlap adminisztrátorok. Vannak esetek, amikor a vírus készítői a CMS Magento sérülékenységet használják a web szerverek elleni támadásra. A Doctor Web kutatói feltételezik, hogy legalább többször tíz áldozta van már ennek a trójai vírusnak.

A Linux.Encoder.1-nek nevezett trójai adminisztrátos jogosultsággal elindítva fájlokat tölt le, melyek tartalmazzák a támadók követeléseit és azt a publikus RSA kulcsot, melyet arra használnak, hogy a fájlok titkosítása során alkalmazott AES kulcsokat nem visszafejthetően eltárolják. A kártékony program démonként fut és letörli az eredetileg letöltött fájlokat.

A Linux.Encoder.1 először titkosítja a home könyvtárakat és a honlap adminisztrációval kapcsolatos könyvtárakat. Ezután rekurzív módon végigjárja az egész fájl rendszert abból a könyvtárból kiindulva ahonnan elindították, majd ezután a gyökér könyvtárból kiindulva is. A vírus csak a támadók által meghatározott kiterjesztésű fájlokat és szöveggel kezdődő könyvtárakat titkosítja.

A titkosított fájlok .encrypted kiterjesztést kapnak és minden titkosított könyvtárban elhelyezésre kerül egy fájl (README_FOR_DECRYPT.txt), mely a zsarolók követeléseit tartalmazza, azaz, hogy mennyi Bitcoin-t kell fizetni a fájlok dekódolásáért.

A Linux.Encoder.1 vírus C nyelven íródott a PolarSSL könyvtár felhasználásával.

A vírus indulásakor a memóriába tölti a futási fájljait köztük a zsarolók követeléseit:

   ./readme.crypto - fájl a követelésekkel,
   ./index.crypto - HTML fájl a követelésekkel.

A vírus az alábbi sorrendben titkosítja a könyvtárakat:

   /home
   /root
   /var/lib/mysql
   /var/www
   /etc/nginx
   /etc/apache2
   /var/log

A vírus csak azokat a könyvtárakat titkosítja melyek neve az alábbi szövegek valamelyikével kezdődik:

   public_html
   www
   webapp
   backup
   .git
   .svn

Ezeken belül az alábbi kiterjesztésű fájlok kerülnek titkosításra:

".php", ".html", ".tar", ".gz", ".sql", ".js", ".css", ".txt" ".pdf", ".tgz", ".war", ".jar", ".java", ".class", ".ruby", ".rar" ".zip", ".db", ".7z", ".doc", ".pdf", ".xls", ".properties", ".xml" ".jpg", ".jpeg", ".png", ".gif", ".mov", ".avi", ".wmv", ".mp3" ".mp4", ".wma", ".aac", ".wav", ".pem", ".pub", ".docx", ".apk" ".exe", ".dll", ".tpl", ".psd", ".asp", ".phtml", ".aspx", ".csv"

A vírus nem titkosítja az alábbi könyvtárakat:

   /
   /root/.ssh
   /usr/bin
   /bin
   /etc/ssh

További információk találhatók, az alábbi linkeken:

http://news.drweb.com/show/?i=9686&c=5&lng=en&p=0

http://hup.hu/cikkek/20151108/linux_encoder_1_cryptolocker-hez_hasonlo_titkosito_ransomware_bukkant_fel_linux-ra

 

Cisco ASA CX Context-Aware Security grafikus web interfész sérülékenység

2015-10-27

Cisco ASA CX Context-Aware Security Web GUI Unauthorized Access Vulnerability

CVE-2015-6344. Cisco Bug IDs: CSCuv74105

A Cisco Adaptive Security Appliance (ASA) CX Context-Aware Security webes grafikus interfésze (GUI) kódja egy olyan olyan közepes besorolású sérülékenységet tartalmaz, mely lehetővé teszi egy nem azonosított távoli támadónak, hogy kinyerje a felhasználókat és azokra vonatkozó információkat anélkül, hogy arra jogosultsága lenne.

A sérülékenységet a nem megfelelő jogosultság vezérlés okozza. A támadó úgy tudja kihasználni a sérülékenységet, hogy HTTP kérés csomagot küld egy speciális URL-re.

A sérülékenységet javító frissítések illetve óvintézkedések jelenleg nem állnak rendelkezésre.

További információk találhatók, az alábbi linkeken:

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151027-cas