Fishpig software maker e-commerce yang berbasis di Inggris dan digunakan oleh sebanyak 200.000 situs web, mendesak pelanggan untuk menginstal ulang atau memperbarui semua ekstensi program yang ada setelah menemukan pelanggaran keamanan pada server distribusinya yang memungkinkan para penjahat diam-diam melakukan backdoor sistem pelanggan.
Pelaku ancaman yang tidak dikenal menggunakan kendali mereka atas sistem FishPig untuk melakukan serangan rantai pasokan yang menginfeksi sistem pelanggan dengan Rekoobe, Backdoor canggih yang ditemukan pada bulan Juni.
Rekoobe menyamar sebagai server SMTP jinak dan dapat diaktifkan dengan perintah rahasia yang terkait dengan penanganan perintah startTLS dari penyerang melalui Internet. Setelah diaktifkan, Rekoobe menyediakan shell terbalik yang memungkinkan aktor ancaman untuk mengeluarkan perintah dari jarak jauh ke server yang terinfeksi.
FishPig adalah penjual integrasi Magento-WordPress. Magento adalah platform e-commerce open source yang digunakan untuk mengembangkan pasar online.
Tideswell mengatakan komitmen perangkat lunak terakhir yang dibuat ke servernya yang tidak menyertakan kode berbahaya dibuat pada 6 Agustus, membuat tanggal sedini mungkin kemungkinan terjadinya pelanggaran. Sansec, perusahaan keamanan yang menemukan pelanggaran dan pertama kali melaporkannya, mengatakan penyusupan itu dimulai pada atau sebelum 19 Agustus.
Tideswell mengatakan FishPig telah “mengirim email ke semua orang yang telah mengunduh sesuatu dari FishPig.co.uk dalam 12 minggu terakhir memperingatkan mereka atas apa yang terjadi.”
Dalam pengungkapan yang diterbitkan setelah Sansec advisory ditayangkan, FishPig mengatakan bahwa penyusup menggunakan akses mereka untuk menyuntikkan kode PHP berbahaya ke dalam file Helper/License.php yang disertakan di sebagian besar ekstensi FishPig.
Setelah diluncurkan, Rekoobe menghapus semua file malware dari disk dan hanya berjalan di memori. Untuk bersembunyi lebih lanjut, ia bersembunyi sebagai proses sistem yang mencoba meniru salah satu dari berikut ini:
/usr/sbin/cron -f
/sbin/udevd -d
crond
auditd
/usr/sbin/rsyslogd
/usr/sbin/atd
/usr/sbin/acpid
dbus-daemon –system
/sbin/init
/usr/sbin/chronyd
/usr/libexec/postfix/master
/usr/lib/packagekit/packagekitd
Backdoor kemudian menunggu perintah dari server yang terletak di 46.183.217.2. Perusahaan keamanan mencurigai bahwa pelaku ancaman mungkin berencana untuk menjual akses ke toko yang terkena dampak secara massal di forum peretasan.
Baik Sansec dan FishPig mengatakan pelanggan harus berasumsi bahwa semua modul atau ekstensi terinfeksi. FishPig merekomendasikan pengguna untuk segera memutakhirkan semua modul FishPig atau menginstalnya kembali dari sumber untuk memastikan tidak ada kode yang terinfeksi yang tersisa. Langkah-langkah khusus meliputi:
Instal Ulang Ekstensi FishPig (Pertahankan Versi)
rm -rf vendor/fishpig && composer clear-cache && composer install –no-cache
Tingkatkan Ekstensi FishPig
rm -rf vendor/fishpig && composer clear-cache && composer update fishpig/* –no-cache
Hapus File Trojan
Jalankan perintah di bawah ini dan kemudian restart server Anda.
rm -rf /tmp/.varnish7684
Sansec menyarankan pelanggan untuk menonaktifkan sementara ekstensi Fishpig berbayar, menjalankan pemindai malware sisi server untuk mendeteksi malware yang diinstal atau aktivitas tidak sah, dan kemudian memulai ulang server untuk menghentikan proses latar belakang yang tidak sah.
Selengkapnya : Arstechnica
