Informações, notícias e muito mais!

Linux: Falha no PHP Weathermap permite a mineração de criptomoedas

Está em curso uma campanha para mineração de criptomoedas em servidores Linux que explora uma falha antiga existente no plugin PHP Weathermap do Cacti.

Os atacantes tiraram proveito de uma falha de segurança antiga no PHP Weathermap, que permite que códigos maliciosos sejam executados remotamente. O ataque se concentra principalmente no Japão, Taiwan, China, EUA e Índia. Dos países que foram sofreram ataques do minerador, o Brasil está com os seus 3%.

Países infectados pelo minerador XMRig
Países infectados pelo minerador XMRig

Pesquisadores de segurança da TrendMicro descobriram que esta campanha de mineração de criptomoedas possui ligação com o malware JenkinsMiner.

Como funciona a infecção desta campanha de mineração?

Esta campanha explora uma vulnerabilidade (CVE-2013-2618) no plugin Weathermap do Cacti, utilizado pelos administradores do sistema para visualizar a atividade de rede.A vulnerabilidade do tipo cross-site scripting reside no arquivo “/plugins/weathermap/configs/conn.php”.

Os invasores utilizam este arquivo para executar scripts remotamente e realizar o download do arquivo watchd0g.sh de uma espécie de servidor de comando e controle (C&C).

O principal objetivo do watchd0g.sh é realizar o download do payload dada.x86_64, do mesmo servidor onde (o watchd0g.sh) foi baixado. O payload final é o minerador XMRig modificado.

O arquivo de configuração “config.json” executado juntamente com o XMRig, contém o algoritmo utilizado para a mineração, consumo máximo de CPU, o servidor de mineração, bem com as credenciais de login das carteiras do Monero.

Pesquisadores também descobriram dois nomes de usuários únicos que combinam com as carteiras do Monero, e disseram que, desde 21 de março de 2018, os invasores tinham cerca de 320 XMR, ou 74.677 dólares.

O que o ataque precisa ter para entrar em ação

Um servidor web Linux acessível publicamente (X86-64), devido o minerador XMRig ser de 64 bits e o Cacti precisar ser implementado com o Plugin Architecture, juntamente com uma versão desatualizada (anterior a 0.97a) do Weathermap.

O servidor web que possui o Cacti, não requer autenticação para acessar o recurso do site. Para um ataque perfeito, o servidor web precisa estar em execução com permissões de root.

Endereço IP e Domínios utilizados ​​no ataque

222[.]184[.]79[.]11

bbc[.]servehalflife[.]com

190[.]60[.]206[.]11

182[.]18[.]8[.]69

jbos[.]7766[.]org

115[.]231[.]218[.]38

Fonte:

https://gbhackers.com/cryptocurrency-mining-campaign-linux-servers/

Comentários