Μια ενημερωμένη έκδοση του κακόβουλου λογισμικού commodity με την ονομασία Legion διαθέτει διευρυμένες λειτουργίες για να θέτει σε κίνδυνο SSH servers και Amazon Web Services (AWS) credentials που σχετίζονται με το DynamoDB και το CloudWatch.
“Αυτή η πρόσφατη ενημέρωση δείχνει μια διεύρυνση του πεδίου εφαρμογής, με νέες δυνατότητες, όπως η δυνατότητα παραβίασης διακομιστών SSH και ανάκτησης πρόσθετων credential ειδικά για AWS από εφαρμογές Ιστού Laravel”, δήλωσε ο ερευνητής της Cado Labs, Matt Muir, σε μια αναφορά που κοινοποιήθηκε στο The Hacker News.
“Είναι σαφές ότι η στόχευση των υπηρεσιών cloud από τον προγραμματιστή προχωρά με κάθε επανάληψη.”
Το Legion, ένα εργαλείο hacking βασισμένο στην Python, καταγράφηκε για πρώτη φορά τον περασμένο μήνα από την εταιρεία ασφάλειας cloud, περιγράφοντας λεπτομερώς την ικανότητά του να παραβιάζει ευάλωτους SMTP servers και να συλλέγει credentials.
Είναι επίσης γνωστό ότι εκμεταλλεύεται web servers που εκτελούν συστήματα διαχείρισης περιεχομένου (CMS), αξιοποιεί το Telegram ως σημείο διαφυγής δεδομένων και στέλνει μηνύματα spam SMS σε έναν κατάλογο δυναμικά παραγόμενων αμερικανικών αριθμών κινητής τηλεφωνίας χρησιμοποιώντας κλεμμένα SMTP credentials.
Μια αξιοσημείωτη προσθήκη στο Legion είναι η ικανότητά του να παραβιάζει SSH servers χρησιμοποιώντας το Paramiko module. Περιλαμβάνει επίσης χαρακτηριστικά για την ανάκτηση πρόσθετων ειδικών credential AWS που σχετίζονται με DynamoDB, CloudWatch και AWS Owl από εφαρμογές Laravel web.
Μια άλλη αλλαγή σχετίζεται με τη συμπερίληψη πρόσθετων path προς απαρίθμηση για την ύπαρξη αρχείων .env όπως /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env, και /web/.env μεταξύ άλλων.
“Οι λανθασμένες ρυθμίσεις σε web applications εξακολουθούν να είναι η κύρια μέθοδος που χρησιμοποιεί η Legion για την ανάκτηση credential“, είπε ο Muir.
“Ως εκ τούτου, συνιστάται οι προγραμματιστές και οι διαχειριστές εφαρμογών Ιστού να ελέγχουν τακτικά την πρόσβαση σε πόρους εντός των ίδιων των εφαρμογών και να αναζητούν εναλλακτικές λύσεις για την αποθήκευση μυστικών σε αρχεία περιβάλλοντος.”
Πηγή: thehackernews.com