Elasix VoIP服务器遭攻击，超50万设备被感染

近期，安全研究人员检测到Elasix VoIP服务器遭到大规模网络攻击，该攻击使用CVE-2021-45461远程代码执行漏洞，植入PHP Web shell实现远程控制，还特意修改文件时间戳试图”融入环境“。仅仅3个月时间，已经有超50万设备被感染。

关于Elastix

Elastix 是用于统一通信（Internet 协议专用分支交换 [IP PBX]、电子邮件、即时消息、传真）的服务器软件，可与FreePBX的Digium 电话模块一起使用。

事件详情

威胁分析人员发现了一场针对 Elastix VoIP 电话服务器的大规模活动，在三个月内有超过 500,000 个恶意软件样本。

自 2021年12 月以来，攻击者一直在利用远程代码执行 (RCE) 漏洞 （编号：CVE-2021-45461，严重性等级 9.8）。据调查分析，最近的活动似乎与安全问题有关。

Palo Alto Networks 的 Unit 42 安全研究人员表示，攻击者的通过植入一个 PHP Web shell，可以在受感染的通信服务器上运行任意命令。在报告中研究人员表示，威胁者在 2021 年 12 月至 2022 年 3 月期间部署了“该家族的超过 500,000 个独特的恶意软件样本”。目前该活动还很活跃，与网络安全公司 Check Point的研究人员报告的 2020 年另一项行动有一些相同的地方。

攻击细节研究人员观察到两个攻击组使用不同的初始利用脚本来删除小型 shell 脚本。该脚本在目标设备上安装 PHP 后门，并创建 root 用户帐户，并通过计划任务确保持久性。用于初始妥协的两个脚本之一 (Palo Alto Networks)“这个 dropper 还试图通过将已安装的 PHP 后门文件的时间戳伪装成系统上已经存在的已知文件的时间戳来融入现有环境，”安全研究人员指出。

这两个组织的攻击者的 IP 地址显示位于荷兰，而 DNS 记录显示了几个俄罗斯不良网站的链接。目前，部分有效载荷交付基础设施仍保持在线和运行状态。由第一个脚本创建的计划任务，每​​分钟运行一次，以获取经过 base64 编码的 PHP Web shell，并且可以管理传入 Web 请求中的以下参数：

md5 - 用于远程登录和 Web shell 交互的 MD5 身份验证哈希。

admin – 在 Elastic 和 Freepbx 管理员会话之间进行选择。

cmd - 远程运行任意命令

call – 从 Asterisk 命令行界面 (CLI) 启动呼叫

Web shell 还具有一组额外的八个内置命令，用于文件读取、目录列表和 Asterisk 开源 PBX 平台的侦察。Unit42 的报告包括有关如何丢弃有效载荷的技术细节以及避免在现有环境中检测到的一些策略。此外，危害指标列表显示了恶意软件使用的本地文件路径、唯一字符串、shell 脚本的哈希值以及承载有效负载的公共 URL。

通过哪些途径来避免服务器被攻击或减少被攻击的概率？

1、设置复杂的密码，建议密码同时包含字符、数字和字母，这样的密码比较难破解；

2、定期分析系统日志；

3、谨慎开放缺乏安全保障的应用和端口；

4、实施文件和目录的控制权限；

5、不断完善服务器系统的安全性能，及时更新系统补丁；

6、做好数据的备份工作，有了完整的数据备份，遭到攻击或系统出现故障时，才能够迅速恢复系统和数据；

7、谨慎利用共享软件, 共享软件和免费软件中往往藏有后门及陷阱，如果不做好检测，可能会造成严重损失。

服务器是企业不可缺少的资源之一，服务器遭到大规模网络攻击，会造成很大的损失。通过以上的7个途径，可以避免服务器被攻击，或者减少被攻击的概率。从以上的网络攻击事件中不难发现，做好服务器安全防护，保护好数据安全很重要。

来源：sunshine

原文链接：https://www.hake.cc/page/article/4351.html