Grėsmės veikėjas pažeidžia NGINX serverius vykdydamas kampaniją, kuri užgrobia vartotojų srautą ir nukreipia jį per užpuoliko pagrindinę infrastruktūrą.
NGINX yra atvirojo kodo programinė įranga, skirta žiniatinklio srauto valdymui. Jis tarpininkauja ryšiams tarp vartotojų ir serverių ir naudojamas žiniatinklio aptarnavimui, apkrovos balansavimui, talpyklos kaupimui ir atvirkštiniam tarpiniam serveriui.
Kenkėjiška kampanija, kurią aptiko „DataDog Security Labs“ tyrėjai, nukreipta į NGINX įrenginius ir „Baota“ prieglobos valdymo skydelius, naudojamus svetainėse su Azijos aukščiausio lygio domenais (.in, .id, .pe, .bd ir .th) ir vyriausybės bei švietimo svetainėse (.edu ir .gov).
Užpuolikai modifikuoja esamus NGINX konfigūracijos failus įpuršdami kenkėjiškų 'vieta' blokai, fiksuojantys gaunamas užklausas užpuoliko pasirinktuose URL keliuose.
Tada jie perrašo juos, kad įtrauktų visą pradinį URL, ir nukreipia srautą per „proxy_pass“ direktyvą užpuolikų valdomiems domenams.
Piktnaudžiaujama direktyva paprastai naudojama apkrovos balansavimui, leidžianti NGINX peradresuoti užklausas per alternatyvias užpakalines serverių grupes, siekiant pagerinti našumą ar patikimumą; taigi, piktnaudžiavimas juo nesukelia jokių saugumo įspėjimų.
Užklausų antraštės, pvz „Host“, „X-Real-IP“, „Vartotojo agentas“, ir „Nuorodytojas“ išsaugomi, kad eismas atrodytų teisėtas.
Ataka naudoja scenarijų sudarytą kelių etapų įrankių rinkinį NGINX konfigūracijos injekcijoms atlikti. Priemonių rinkinys veikia penkiais etapais:
- 1 etapas – zx.sh: Veikia kaip pradinis valdiklio scenarijus, atsakingas už likusių etapų atsisiuntimą ir vykdymą. Jame yra atsarginis mechanizmas, kuris siunčia neapdorotas HTTP užklausas per TCP, jei curl arba wget nepasiekiami.
- 2 etapas – bt.sh: Taikoma NGINX konfigūracijos failams, kuriuos valdo Baota skydelis. Jis dinamiškai parenka įpurškimo šablonus pagal server_name reikšmę, saugiai perrašo konfigūraciją ir iš naujo įkelia NGINX, kad būtų išvengta paslaugos prastovos.
- 3 etapas – 4zdh.sh: išvardija įprastas NGINX konfigūracijos vietas, pvz., įgalintos svetainės, „conf.d“ ir pasiekiamos svetainės. Jis naudoja analizavimo įrankius, tokius kaip csplit ir awk, kad išvengtų konfigūracijos sugadinimo, aptinka ankstesnes injekcijas naudodamas maišą ir visuotinį susiejimo failą ir patvirtina pakeitimus naudodamas nginx -t prieš įkeldamas iš naujo.
- 4 etapas – zdh.sh: Naudojamas siauresnis taikymo metodas, daugiausia dėmesio skiriant /etc/nginx/sites-enabled, akcentuojant .in ir .id domenus. Tai atliekama pagal tą patį konfigūracijos testavimo ir įkėlimo procesą, kai priverstinis paleidimas (pkill) naudojamas kaip atsarginė priemonė.
- 5 etapas – ok.sh: Nuskaito pažeistas NGINX konfigūracijas, kad sukurtų užgrobtų domenų žemėlapį, įterpimo šablonus ir tarpinio serverio taikinius. Tada surinkti duomenys išfiltruojami į komandų ir valdymo (C2) serverį 158.94.210(.)227.
.jpg)
Šaltinis: Datadog
Šias atakas sunku aptikti, nes jose neišnaudojamas NGINX pažeidžiamumas; vietoj to jie slepia kenkėjiškas instrukcijas konfigūracijos failuose, kurie retai tikrinami.
Be to, naudotojų srautas vis tiek pasiekia numatytą paskirties vietą, dažnai tiesiogiai, todėl vargu ar bus pastebėtas užpuoliko infrastruktūros judėjimas, nebent bus atliktas specialus stebėjimas.
Šiuolaikinė IT infrastruktūra juda greičiau, nei gali atlikti rankinės darbo eigos.
Šiame naujajame „Tines“ vadove sužinokite, kaip jūsų komanda gali sumažinti paslėptus rankinius delsus, pagerinti automatinio atsako patikimumą ir sukurti bei išplėsti intelektualias darbo eigas su jau naudojamais įrankiais.
