Los hackers infectan los servidores Linux con Mineros de Monero a través de una vulnerabilidad de hace 5 años

Los hackers infectan los servidores Linux con Mineros de Monero a través de una vulnerabilidad de hace 5 años

Un grupo de hackers ha obtenido casi 75,000 dólares mediante la instalación de mineros de Monero en servidores Linux después de explotar una vulnerabilidad de hace cinco años en el plugin Cacti "Network Weathermap".

Network-Weathermap-Minero

Expertos de la firma estadounidense de seguridad Trend Micro dijeron que encontraron evidencia que conecta estos ataques con ataques pasados en servidores Jenkins, durante los cuales un grupo de piratas informáticos hizo alrededor de 3 millones de dólares instalando un minero de Monero en las instalaciones de Jenkins explotando la vulnerabilidad CVE-2017-1000353.

Esta vez, los atacantes aprovecharon CVE-2013-2618, una vulnerabilidad en Cacti, una herramienta de monitoreo y realización de gráficos de redes de código abierto basada en PHP, y más específicamente en su plugin Network Weathermap, responsable de visualizar la actividad de la red.

Al igual que en los ataques anteriores, los hackers explotaron un fallo para obtener la capacidad de ejecución de código en los servidores subyacentes, donde descargaron e instalaron una versión personalizada de XMRig, un software de minería de Monero legítimo.

Los atacantes también modificaron los trabajos cron locales para desencadenar un script Bash "watchd0g" cada tres minutos, un script que verificaba si el minero de Monero aún estaba activo y reiniciaba el proceso de XMRig cada vez que estaba inactivo.

Los atacantes hicieron aproximadamente 320 XMR (75,000 dólares) usando este modo simple de operación. Todos los servidores infectados ejecutaban Linux, y la mayoría de las víctimas se encontraban en Japón (12%), China (10%), Taiwán (10%) y EE. UU. (9%).

Dado que los sistemas Cacti generalmente están diseñados para ejecutar y vigilar las redes internas, para empezar, no se debe poder acceder a dichos casos en línea. Ejecutar sistemas sin parches durante casi cinco años también es un gran error de seguridad por parte de los propietarios. ¡Obtén el parche, administradores del servidor!