Utilizan una vulnerabilidad de hace 5 años en servidores Linux para infectarlos con script de minado

Escrito por Adrián Crespo

Es la moda. Las criptomonedas caparan gran parte de la actualidad de las páginas web de noticias tecnológicas. El problema es que la mayoría de estas noticias son negativas y están relacionadas con ciberdelincuentes. Expertos en seguridad han descubierto que, un grupo de hackers, han instalado software de minado de la criptomoneda Monero aprovechando una vulnerabilidad existente.

Con esto, se han embolsado, aproximadamente, unos 75.000 dólares. Pero la particularidad de esta noticia no es el cuánto ni el cuándo, sino el cómo. Y es que, la forma de instalar este software en los servidores ha sido valiéndose de una vulnerabilidad en un componente software con 5 años de antigüedad. Tal y como sucede en otras ocasiones, la falta de actualizaciones o el compromiso del administrador de sistemas deja al descubierto los sistemas frente a los ciberdelincuentes.

En esta ocasión, los equipos afectados son servidores Linux.

Seguro que la siguiente noticia os resulta similar:

La dimos hace poco más de un mes. En ella se hablaba de servidores vulnerables que fueron aprovechados para conseguir unos beneficios de más de 3 millones de dólares en criptomonedas. Investigadores coinciden en que existen evidencias para vincular ambas operaciones. Sin embargo, hay que reconocer que el comienzo es diferente.

Servidores Linux con vulnerabilidades antiguas

En el caso de los servidores de Jenkins, la vulnerabilidad explotada fue CVE-2017-1000353. En el caso que nos ocupa en este artículo, hablamos de CVE-2013-2618, afectando al software Cacti. Para todo aquel que no conozca esta aplicación, se trata de un software de monitorización de redes, desarrollado utilizando el lenguaje de programación PHP. Para ser más precisos, el fallo está localizado en el complemento Network Weathermap. Es decir, permite visualizar la actividad de la red en tiempo real y de forma gráfica.

Esta vulnerabilidad permite al atacante la posibilidad de ejecutar código de forma remota. O lo que es lo mismo, permitir descargar una copia modificada del software legítimo XMRig y que permite el minado de la criptomoneda Monero. Además, se ha comprobado que, en los servidores afectados, el cron del sistema se ha visto modificado con un watchdog que vigila si el proceso de XMRig continúa activo. De no ser así, realiza un reinicio del mismo o un arranque.

Pocos servidores afectados en Europa

Tal y como indican expertos en seguridad, por l momento se han detectado muy pocos casos en Europa, centrando sus esfuerzos los ciberdelincuentes en servidores que están ubicados en países de Asia.

Esto nos demuestra una vez más lo importante que es mantener actualizados los sistemas operativos y las aplicaciones en ejecución, resolviendo cualquier problema que pueda permitir el control remoto del equipo. Teniendo en cuenta que la vulnerabilidad explotada posee 5 años de antigüedad, y que existen soluciones para evitar que esto suceda, los administradores de algunos servidores demuestran cierta dejadez.

Fuente > Bleeping Computer