Ubuntu Sunucunuz mu var? Tebrikler Sunucunuzda bir hintli olabilir!

[Somon2]

Sabah bir uyandım sunucularımda bir şeyler çalışıyor yüksek cpu yüksek ram vs. birisi kurcalamış sunucuları gibi..  hayır 4 farklı datacenter/şirketten 8 farklı sunucu kullanıyorum alakasız şeyler için; biri vpn, biri oyun sunucusu vs. ama hepsinin ortak özelliği ubuntu kurulu olması ve hepsine bir şekilde girilmiş görünüyor.

htop ve netstat, lsof vs. hızlıca ne olup bittiğine bakmak için kurcaladığımda cups browser ile alakalı bir remote code exec olayı olduğunu anlamak zor değil. sadece google'a "cups browser high cpu" arattığımda ise 15-20 gün önce 9.9 puan'lı bir açık çıkmış ama kimsenin ya haberi yok ya da çok uyandırmadan millete secret patchler ile kapatmaya çalışıyor ubuntu. benim gördüğüm bu hearthbleed veya shellshock'tan vs. daha büyük bir açık kokusu çıkacak 10-15 güne.

Arkadaşlarımın da sunucularına bir baktığımda hemen hepsinde code çalıştırıldığını gördük ubuntu kullanıyorsanız ve firewall ile portlar kapalı değilse %99 ya sunucunuza girdiler ya da  girmek üzereler linkten önlemini alabilirsiniz. 

Baktığım kadarı ile henüz bir poc yok birileri kendine saklamış bunu.

 

https://commons.lbl.gov/display/cpp/CUPS+Remote+Code+Execution+Vulnerability

 

 

[Somon2]

Bu açığın muhtemelen büyük yankı uyandırmamasının sebebi sözde bu açığın tetiklenmesi için printerin kullanılması gerektiği yanılgısı ama belliki birileri bu durumu çözmüş ve 0click rce'ye dönmüş olay.

[dasaaa]

ubuntu kullanan yok abi...

[Dark_Soul]

Benim 3 farklı projede ubuntu var ama hiçbirinde bu sorun yok. Azure üzerinde olduğu için mi acaba, default tüm portlar kapalı geliyor

[ad3m]

dasaaa, 27.10.2024 14:28 tarihinde dedi ki:

ubuntu kullanan yok abi...

lulz