存在弱点的程式码一旦重复利用,很有可能造成类似的漏洞不断出现,骇客可能得以多次挖掘这类弱点,将其用于攻击。
最近有研究人员针对SonicWall防火墙已有概念性验证程式的已知漏洞进行调查,结果发现,另一个1年前公开的漏洞因为也采用相同的程式码,而具有类似的弱点,依此情况来看,其他采用这部分程式码的功能模组也会曝险,而有可能导致其危害扩大。
【攻击与威胁】
资安业者Zscaler揭露Linux恶意程式DreamBus的最新攻击行动,这个恶意程式约从2019年出现,并具备类似蠕虫的特质,主要透过应用程式的漏洞,以及资料库、云端应用程式、IT管理工具的弱密码来入侵目标主机。但从2023年6月此恶意程式出现重大变化,开发者导入新的程式码来回避侦测,并加入新的漏洞利用攻击模组,锁定商业智慧(BI)工具Metabase的CVE-2023-38646(CVSS风险评分为9.8),以及分散式讯息及资料处理平台Apache RocketMQ的CVE-2023-33246(CVSS风险评分为9.8)。
研究人员在过去半年看到该恶意程式针对Metabase、RocketMQ、HashiCorp Consul、Hadoop YARN,以及资料库Redis、PostgreSQL下手,但最常见的攻击对象是PostgreSQL。而对于上述新的漏洞攻击模组,针对Metabase的部分,骇客先传送特定HTTP请求来寻找开放3000埠的伺服器,然后执行bash命令来挖堀设定用的Token,尝试利用漏洞,成功后下载DreamBus主程式并执行。
而对于RocketMQ,攻击者则是扫描10911埠来寻找目标,若是找到含有CVE-2023-33246的伺服器,就会利用curl下载bash指令码,并写入名为reketed的档案来利用漏洞,确认成功后使用另一个bash指令码来启动DreamBus。