毫无疑问,黑客团体已经开始利用本月早些时候公开的漏洞,利用公共技术细节和演示漏洞利用代码来发动针对现实世界目标的攻击。
攻击已经在本周开始,他们已经看到了针对Webmin的Webmin,这是一个基于Web的实用程序,用于管理Linux和* NIX系统,还有企业产品,如Pulse Secure和Fortinet的FortiGate。
所有这三种类型的攻击都同样危险,因为它们针对企业网络中的设备,并允许攻击者完全控制受攻击的系统。
毫不夸张地说,本周针对Webmin,Pulse Secure和Fortinet FortiGate的攻击是今年最糟糕的一次,不是因为数量,而是因为它们所针对的系统的敏感性。
WEBMIN攻击
这些攻击中的第一次是在星期二开始的,也就是在Webmin发布主要后门的消息后的第二天,Webmin是一个基于Web的工具,系统管理员用它来管理远程Linux和* NIX系统。
在其他威胁行为者破坏属于Webmin开发人员的服务器之后,后门在Webmin源代码中创建了它,在被发现之前它已被隐藏了一年多。
在安全研究人员在DEF CON安全会议上进行演示之后,开始针对此漏洞进行扫描,详细介绍了漏洞(后来证明是后门)。
CVE-2019-15107扫描已经开始。#threatintel https://t.co/UWv2IyuqaV
- Bad Packets报告(@bad_packets)2019年8月20日
但是,一旦Webmin团队确认此问题的严重性,Webmin服务器的扫描会立即变为主动利用尝试。
根据威胁英特尔公司Bad Packets,目前有几个参与者正在利用Webmin漏洞,其中一个是名为Cloudbot的物联网僵尸网络的所有者。
CVE-2019-15107(Webmin的RCE)漏洞检测的尝试,因为2019-08-21T21:33:21Z https://t.co/ZE6wNPfIcX #threatintel
- Bad Packets报告(@bad_packets)2019年8月23日
