Groundhog trójai

CH azonosító

CH-12781

Angol cím

Linux.Groundhog

Felfedezés dátuma

2015.11.12.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

A Groundhog trójai a Linux alapú számítógépekre nézve jelent veszélyt. Elsősorban azáltal, hogy azokon egy hátsó kaput létesít, amin keresztül fogadja a terjesztői által kiadott parancsokat. A kártékony program ilyen módon egyebek mellett fájlok letöltésére, folyamatok leállítására, fájlok törlésére és egyéb parancsok végrehajtására is utasítható. Emellett távolról törölhető abban az esetben, ha a nyomokat gyorsan akarják eltüntetni a csalók.

A Groundhog nem kizárólag hátsó kapu kiépítéséből veszi ki a részét. Emellett adatlopásban is szerepet tud vállalni. A jelenlegi variánsa elsősorban rendszerinformációkat gyűjt össze, illetve szivárogtat ki a támadók számára, akik ezáltal pontosan felmérhetik, hogy a szerzeményük milyen erőforrásokkal rendelkező rendszerre jutott fel.

Leírás

1. Létrehozza a következő állományt:
/tmp/[véletlenszerű karakterek]

2. Kapcsolódik egy előre meghatározott távoli kiszolgálóhoz.

3. Egy hátsó kaput létesít az alábbi portok egyikének felhasználásával:

  • 22
  • 53
  • 80
  • 443
  • 1433
  • 1521
  • 3306

4. Rendszerinformációkat gyűjt össze.

5. Várakozik a támadók parancsaira, amiket rögtön végrehajt.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-25181 – Advantive VeraCore SQL Injection sebezhetősége
CVE-2025-22224 – VMware ESXi és Workstation sérülékenysége
CVE-2025-22225 – VMware ESXi sérülékenysége
CVE-2025-22226 – VMware ESXi, Workstation és Fusion sérülékenysége
CVE-2022-43939 – Hitachi Vantara Pentaho BA Server Authorization Bypass sebezhetősége
CVE-2022-43769 – Hitachi Vantara Pentaho BA Server Special Element Injection sebezhetősége
CVE-2024-4885 – Progress WhatsUp Gold Path Traversal sebezhetősége
CVE-2018-8639 – Microsoft Windows Win32k Improper Resource Shutdown or Release sebezhetősége
CVE-2023-20025 – Cisco Small Business Routers sebezhetősége
Tovább a sérülékenységekhez »