Una antigua vulnerabilidad denominada «CVE-2013-2618» que permitía infectar equipos con un script, ha vuelto a ser utilizada recientemente en servidores con Linux que aún seguían siendo vulnerables, el Script utilizado es el XMRig mediante el cual unos hackers han generado más de 75.000 dólares en Monero (XMR).
¿Qué hace la vulnerabilidad CVE-2013-2618?
Esta vulnerabilidad permite a los atacantes introducir un script en el equipo del infectado, en este caso el script con el que han atacado a los servidores con Linux, es el Cryptominer XMRig, un Script de código abierto que infecta los equipos y les hace minar criptomonedas sin que el usuario sea consciente de ello.
No es la primera vez que se usa esta vulnerabilidad y este script para minar Monero con el absoluto desconocimiento de los afectados, hace 5 años ya se «parcheó» para evitar los ataques.
Sorprendentemente los servidores de Linux no estaban preparados, en estos ataques también suele ser utilizada una versión modificada del XMRig llamada WaterMiner.
Esta vez la amenaza ha sido detectado por el equipo de investigación de Trend Micro que por medio de su blog ha declarado:
«A través de nuestro monitoreo relacionado con la respuesta a incidentes, observamos intentos de intrusión cuyos indicadores pudimos correlacionar con una campaña de minería de criptomonedas anterior que usó el malware JenkinsMiner. La diferencia: esta campaña se dirige a servidores Linux. También es un caso clásico de vulnerabilidades reutilizadas, ya que explota una falla de seguridad obsoleta cuyo parche ha estado disponible durante casi cinco años.»
También han afirmado que esta campaña sigue activa y los servidores afectados por el ataque a Linux están situados principalmente en China, Japón, Taiwán, India y EE. UU.
Aseguran que este ataque está conectado con uno en el que se usó malware JenkinsMiner en equipos con Windows, donde los hackers minaron al menos 3 millones de dólares en Monero (XMR).
Tal y como indica el equipo de Trend Micro, la cadena de ataque de la campaña requiere lo siguiente:
- Un servidor web que ejecuta Linux (x86-64), dado el personalizado XMRig Miner 64 bits ELF.
- El servidor web debe ser accesible al público.
- Cacti (una herramienta de monitoreo y graficación de red de código abierto) tuvo que implementarse con el funcionamiento de la arquitectura del complemento y un mapa meteorológico de red desactualizado (0.97a y anteriores).
- El servidor web que aloja Cacti no requiere autenticación para acceder al recurso del sitio web.
- Para una ejecución perfecta, el servidor web debe ejecutarse con permisos ‘raíz’ (o equivalentes) (algunos de los comandos en sh requieren privilegios de administrador).
Trend Micro
Trend micro es una empresa líder en seguridad informática, fundada en Estados Unidos y cuyas oficinas centrales están en Japón. Poseen más de 25 años de experiencia, en su plantilla suman más de 5000 empleados y facturan más de 1,1 mil millones de dólares.
