Image default
Vulnerabilidades

Linux: Falha no PHP Weathermap permite a mineração de criptomoedas

Os atacantes tiraram proveito de uma falha de segurança antiga no PHP Weathermap, que permite que códigos maliciosos sejam executados remotamente. O ataque se concentra principalmente no Japão, Taiwan, China, EUA e Índia. Dos países que foram sofreram ataques do minerador, o Brasil está com os seus 3%.

Países infectados pelo minerador XMRig
Países infectados pelo minerador XMRig

Pesquisadores de segurança da TrendMicro descobriram que esta campanha de mineração de criptomoedas possui ligação com o malware JenkinsMiner.

Como funciona a infecção desta campanha de mineração?

Esta campanha explora uma vulnerabilidade (CVE-2013-2618) no plugin Weathermap do Cacti, utilizado pelos administradores do sistema para visualizar a atividade de rede.A vulnerabilidade do tipo cross-site scripting reside no arquivo “/plugins/weathermap/configs/conn.php”.

Os invasores utilizam este arquivo para executar scripts remotamente e realizar o download do arquivo watchd0g.sh de uma espécie de servidor de comando e controle (C&C).

O principal objetivo do watchd0g.sh é realizar o download do payload dada.x86_64, do mesmo servidor onde (o watchd0g.sh) foi baixado. O payload final é o minerador XMRig modificado.

O arquivo de configuração “config.json” executado juntamente com o XMRig, contém o algoritmo utilizado para a mineração, consumo máximo de CPU, o servidor de mineração, bem com as credenciais de login das carteiras do Monero.

Pesquisadores também descobriram dois nomes de usuários únicos que combinam com as carteiras do Monero, e disseram que, desde 21 de março de 2018, os invasores tinham cerca de 320 XMR, ou 74.677 dólares.

O que o ataque precisa ter para entrar em ação

Um servidor web Linux acessível publicamente (X86-64), devido o minerador XMRig ser de 64 bits e o Cacti precisar ser implementado com o Plugin Architecture, juntamente com uma versão desatualizada (anterior a 0.97a) do Weathermap.

O servidor web que possui o Cacti, não requer autenticação para acessar o recurso do site. Para um ataque perfeito, o servidor web precisa estar em execução com permissões de root.

Endereço IP e Domínios utilizados ​​no ataque

222[.]184[.]79[.]11

bbc[.]servehalflife[.]com

190[.]60[.]206[.]11

182[.]18[.]8[.]69

jbos[.]7766[.]org

115[.]231[.]218[.]38

Fonte:

https://gbhackers.com/cryptocurrency-mining-campaign-linux-servers/

Posts similares

NetSpectre: vulnerabilidade Spectre agora pode ser explorada remotamente

O Analista

CVE-2017-12163: Vulnerabilidade afeta protocolo SMBv1 do Samba

O Analista

Bluetooth: Nova falha no padrão permite a monitoração do tráfego de dados

O Analista
O Analista_