Los hackers llegaron a más de 1.400 servidores Apache Solr a fines de febrero para instalar un minero de criptomonedas.
Según el investigador de seguridad de la información Renato Marinho, los atacantes de Apache Solr están utilizando la vulnerabilidad de ejecución remota de código crítica etiquetada como CVE-2017-12629. La Apache Software Foundation publicó una solución para esto en octubre. Solr es un programa Apache ampliamente utilizado para crear funcionalidades de búsqueda en sitios web.
Marinho reconoce que los atacantes de Solr son el mismo grupo que instaló a los mineros de Monero en servidores Oracle WebLogic vulnerables para generar el equivalente a $ 226,000 en Monero.
“Ahora que la mayoría de los servidores de Oracle WebLogic son fijos, los delincuentes tuvieron que pasar a otro objetivo”, escribió el experto en seguridad de la información Marinho en un blog. “En el término de nueve días, del 28 de febrero al 8 de marzo, esta campaña individual explotó 1.416 servidores vulnerables de Apache Solr para desplegar mineros de Monero XMRig en todo el mundo”.
No se sabe cuánto Monero han generado los atacantes de servidores Solr comprometidos porque están usando un proxy para acceder a los grupos de mineros de Monero, lo que les permite ocultar sus direcciones de la cartera de Monero, dijo Marinho.
Los servidores, a diferencia de las PC, son un objetivo atractivo para la minería de criptomonedas en general porque es más probable que se ejecuten en potentes CPU.
Los atacantes están escaneando Internet en busca de servidores Solr disponibles y utilizando un exploit conocido públicamente que se lanzó en octubre.
Después de comprometer una máquina, los atacantes cargan una secuencia de comandos bash que implementa el minero XMRig y establece tareas para garantizar que el minero navegue día y noche. Los administradores podrán ver un proceso llamado ‘fs-manager’ ejecutándose en las máquinas afectadas conectadas al grupo minero a través de la dirección ‘pool-proxy.com’ en el puerto 8080.
El especialista en seguridad de la información señala que IBM InfoSphere versión 11.5, JBoss Data Grid versiones 7.0.0, 7.1.0, JBoss Enterprise Application Platform (EAP) versiones 6, 7, 7.0.8 y JBoss Enterprise Portal Platform versión 6 también pueden ser vulnerables a este ataque porque explota una vulnerabilidad en una biblioteca compartida.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
