استفاده از آسیب‌پذیری 5 ساله برای استخراج مونرو روی سرورهای لینوکسی

خلاصه: یک گروه هکری پس از بهره‌برداری از آسیب‌پذیری 5 ساله CVE-2013-2618 که یک آسیب پذیری در Cacti (یک ابزار مانیتورینگ شبکه متن باز مبتنی بر PHP) می‌باشد، با نصب یک استخراج‌کننده‌ی مونرو بر روی سرورهای لینوکسی، حدود 75000 دلار استخراج کرده است. توجه داشته باشید که اجرای سیستم‌های وصله نشده برای 5 سال، یک اشتباه امنیتی بزرگ از طرف صاحبان و مدیران سیستم‌ها است. به‌روزرسانی‌ها را اعمال کنید!

یک گروه هکری پس از بهره‌برداری از یک آسیب‌پذیری 5 ساله در افزونه‌ی Network Weathermap، با نصب یک استخراج‌کننده‌ی مونرو بر روی سرورهای لینوکسی، حدود 75000 دلار استخراج کرده است.

به‌گفته‌ی محققان ترندمیکرو، شواهدی مبنی بر ارتباط این حملات با حملات سرورهای Jenkins وجود دارد-در حمله‌ی Jenkins یک گروه هکری با بهره‌برداری از آسیب‌پذیری CVE-2017-1000353 و نصب یک استخراج‌کننده‌ی مونرو، توانستند حدود 3 میلیون دلار استخراج کنند.

اما در حمله‌ی اخیر، مهاجمان از آسیب‌پذیری CVE-2013-2618 که یک آسیب‌پذیری در Cacti (یک ابزار مانیتورینگ شبکه متن‌باز مبتنی بر PHP) می‌باشد، استفاده می‌کنند. درست همانند حملات قبلی، هکرها از این آسیب‌پذیری برای به‌دست‌آوردن قابلیت اجرای کد بر روی سرورها استفاده می‌کنند و سپس یک نسخه‌ی سفارشی از XMRig و یک نرم‌افزار استخراج مونرو قانونی را دانلود و نصب می‌کنند. مهاجمان همچنین یک اسکریپت بش “watchd0g” را هر سه ثانیه یک بار راه‌اندازی می‌کنند، این اسکریپت فعال بودن استخراج‌کننده‌ی مونرو را بررسی کرده و در صورت غیرفعال بود، پروسه‌ی XMRig را دوباره راه‌اندزی می‌کند.

مهاجمان با استفاده از این روش ساده توانستند حدود 75000 دلار استخراج کنند. همه‌ی سرورهای آلوده شده لینوکس اجرا می‌کنند و بیشتر قربانیان در ژاپن (12%)، چین (10%)، تایوان (10%) و ایالات متحده (9%) قرار دارند.

از آنجا که سیستم‌های Cati معمولا برای اجرا و نظارت شبکه‌های داخلی طراحی شده‌اند، چنین مواردی نباید به‌صورت آنلاین در دسترسی باشند.

توجه داشته باشید که اجرای سیستم‌های وصله نشده برای 5 سال، یک اشتباه امنیتی بزرگ از طرف صاحبان و مدیران سیستم‌ها است. به‌روزرسانی‌ها را اعمال کنید!