Исходное сообщение
"Атака на уязвимые серверы с Cacti для майнинга криптовалюты " Отправлено opennews, 24-Мрт-18 21:52
Компания Trend Micro сообщила (https://blog.trendmicro.com/trendlabs-security-intelligence/.../) о выявлении атаки на серверы с открытым доступом к web-интерфейсу необновлённой и некорректно настроенной системы мониторинга Cacti (https://github.com/Cacti/cacti). В ходе атаки осуществляется запуск на сервере кода для майнинга криптовалюты Monero. В настоящее время на связанном с атакой кошельке уже накопилось около 320 XMR, что по текущему курсу соответствует 69 тысяч долларов США. Утверждается, что для запуска кода используется уязвимость в плагине Network Weathermap (https://github.com/howardjones/network-weathermap), которая была устранена ещё в 2013 году (в отчёте Trend Micro упоминается CVE-2013-2618 (https://security-tracker.debian.org/tracker/CVE-2013-2618), но это XSS и, вероятно, атака производится через другую уязвимость, например через CVE-2013-1435 (https://security-tracker.debian.org/tracker/CVE-2013-1435), позволяющую выполнить shell-код через манипуляцию с параметрами snmp.php и rrd.php).  При  эксплуатации уязвимости на сервер загружается подставной скрипт conn.php (или cools.php) с бэкдором, который в дальнейшем используется для загрузки кода майнинга, похожего на код, который ранее применялся в ходе атаки на серверы Jenkins (https://www.opennet.ru/opennews/art.shtml?num=48098). Вопросы вызывает то, что код загружаемого атакующими скрипта запускается с правами root и записывается в /etc/rc.local. Не уточняется каким образом осуществляется получение прав root, возможно атака производится только на определённые типовые серверы, в которых Cacti, запускается под пользователем root (в пользу этой гипотезы также говорит нетипичное для систем мониторинга наличие доступа к Cacti без аутентификации). URL: https://blog.trendmicro.com/trendlabs-security-intelligence/.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=48326