«Атака реализуется через передачу параметра username, в который внедряется NULL-байт и произвольный Lua-код, — объяснил руководитель группы аналитики L1 GSOC Андрей Жданухин. — Благодаря этому злоумышленник без аутентификации получает возможность запускать системные команды с привилегиями root на Linux или SYSTEM на Windows, фактически получая полный контроль над сервером. Появился даже PoC и Metasploit-модуль, а единственным выходом является срочное обновление до версии 7.4.4».
В таких сценариях, отмечает эксперт, GSOC компании «Газинформсервис» выходит за рамки простого мониторинга: команда SOC активно занимается Threat Hunting, просматривая подозрительные POST-запросы к критическим интерфейсам и анализируя необычную активность в файловой системе и логах сервера.
«При обнаружении загрузки или исполнения Lua-скриптов из сессий запускается блокировка процесса, изоляция сессии, и инициируется расследование. Это позволяет нейтрализовать атаку на этапе внедрения вредоносного кода, до того, как злоумышленник получит полный контроль над сервером, что снижает риск компрометации инфраструктуры», — пояснил руководитель группы аналитики L1 GSOC.