FBI 和 CISA 发布紧急警告称，Python 恶意软件不会泄露企业机密。

攻击者正在利用多年来已知的漏洞来部署 Androxgh0st 恶意软件并创建僵尸网络来窃取云凭据。这是由联邦调查局 (FBI) 和美国网络安全和基础设施安全局 ( CISA ) 报道的。

在 1 月 16 日发布的联合警报 中，这些机构表示，Python 恶意软件主要针对包含 AWS、Microsoft Office 365、SendGrid 和 Twilio 用户凭证的“.env”文件。

除了扫描和利用被盗凭证之外，Androxgh0st 还可用于部署 Web shell、远程执行代码、窃取敏感数据以及创建新的 AWS 用户和实例。

举例来说，如果易受攻击网站上的 AWS 凭证被成功泄露，攻击者会尝试创建新用户以及自定义策略。Androxgh0st 操作员被发现创建新的 AWS 实例来进行额外的扫描。

Androxgh0st 分发背后的攻击者更喜欢三个已发布补丁很长时间的旧漏洞： CVE-2017-9841 （PHPUnit 中的命令注入漏洞）、 CVE-2018-15133 （Laravel Web 应用程序中的不安全反序列化漏洞）远程执行代码）和 CVE-2021-41773 （Apache HTTP Server 中的路径遍历漏洞，也导致远程代码执行）。

CVE-2017-9841 允许通过恶意 HTTP POST 请求远程执行 PHP 代码，并将文件下载到托管受感染网站的系统。攻击者可以设置一个虚假页面来提供该网站的后门，使他们能够下载其他恶意文件并访问数据库。

该恶意软件还会扫描可访问“.env”文件的 Laravel 网站，并发送 GET 或 POST 请求以窃取凭据和令牌。

第三种方法利用 Apache HTTP Server 版本 2.4.49 或 2.4.50 中允许路径遍历攻击的漏洞。攻击者扫描不受“请求全部拒绝”配置保护且未启用通用网关接口 (CGI) 脚本的 URL。这允许进行远程代码执行攻击。

这些机构发布的安全警报还包括 Androxgh0st 可能受到损害的迹象列表。FBI 和 CISA 提供了多种降低感染风险的措施。

一种策略是确保 Apache 服务器不运行易受攻击的版本 2.4.49 或 2.4.50。检查所有 URL 的默认配置是否拒绝任何请求也很重要，除非有合法的访问理由。

此外，建议定期检查在“.env”文件中列出凭据的平台和服务，并检查它们是否未经授权使用。

好吧，最后的建议一如既往，及时更新操作系统、设备固件和其他使用的软件，但是，从长期已知的漏洞的利用可以看出，很少有人在实践中应用这个建议。