Cryptojacking utilise une vulnérabilité vieille de cinq ans pour ratisser dans Monero

Monero Corée du Nord

Une vulnérabilité de près de cinq ans serait utilisée pour infecter des serveurs Linux avec un malware cryptographique qui permet aux pirates informatiques de les utiliser pour extraire la crypto-monnaie Monero (XMR), selon la firme américaine de cybersécurité Trend Micro .

Selon le rapport de l’entreprise, les pirates profitent d’une vulnérabilité trouvée dans le plugin Network Weathermap pour Cacti. La vulnérabilité exploitée est classée CVE-2013-2618 et permet aux pirates d’obtenir la capacité d’exécution de code sur les serveurs sous-jacents. De cette façon, ils sont en mesure d’installer une version personnalisée de XMRig, un logiciel d’exploitation Monero légitime et open-source.

Les chercheurs détaillent que les attaquants sont capables de garantir un temps de fonctionnement maximal grâce à la vulnérabilité, en vérifiant le malware minier toutes les trois minutes, au cas où quelqu’un fermerait le système. Pour éviter la détection, les attaquants ordonnent à XMRig de fonctionner discrètement, en limitant le nombre maximum de ressources CPU dont il va tirer parti.

Notamment, un correctif pour la vulnérabilité aurait été disponible pendant environ cinq ans. Certains utilisateurs peuvent encore inconsciemment minier Monero pour les pirates, en dépit de pouvoir facilement résoudre le problème. Le rapport de Trend Micro se lit comme suit:

« C’est aussi un cas classique de vulnérabilités réutilisées, car il exploite une faille de sécurité plutôt obsolète dont le correctif est disponible depuis près de cinq ans. »

La faille a été identifiée il y a cinq ans, en avril 2013, dans le plugin Weathermap. Le plug-in open-source est utilisé par les FAI, les centres de commutation Internet, les sociétés Fortune 500 et le réseau télécom pour cartographier l’activité du réseau.

La campagne de cryptojacking cible principalement les serveurs Linux x86-64 accessibles au public dans le monde entier, les pays les plus touchés étant le Japon, Taiwan, la Chine, les États-Unis et l’Inde.

Portée de la campagne Cryptojacking

Les chercheurs de Trend Micro ont découvert deux portefeuilles Monero recevant les fonds mal acquis, et ont noté que la campagne avait permis de hacker 320 Monero (environ 63 000 $) le 21 mars. Ils ont toutefois noté que cette campagne était liée à une campagne utilisant le malware JenkinsMiner. Windows, et a ratissé au moins 3 millions de dollars de XMR.

Les utilisateurs peuvent protéger leurs machines en gardant simplement leurs systèmes corrigés. Selon les chercheurs, ceux qui gèrent le plugin Network Weathermap de Cacti doivent sécuriser leurs données et les tenir à l’écart des serveurs publics. Le rapport du cabinet se lit comme suit:

« Les données de Cacti doivent être correctement conservées à l’intérieur de l’environnement. Avoir ces données exposées représente un énorme risque en termes de sécurité opérationnelle. Bien que cela permette aux systèmes ou aux administrateurs réseau de surveiller facilement leurs environnements, il en fait de même pour les acteurs de la menace. « 

Les victimes de cryptojacking notables incluent Tesla , et Starbucks que son Wi-Fi a été trouvé en utilisant les ordinateurs portables des gens à la mienne . Une campagne de logiciels malveillants a également réussi à pirater des millions d’appareils Android à mine plus tôt cette année.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *