• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:338

別再疏於更新!!

在Tesla ASW伺服器和Jenkins伺服器安裝執行 cryptocurrency 挖礦的網路駭客現在瞄準 Linux 系統的伺服器，到目前為止，已生成7.4萬多美元的 Monero 虛擬幣。

根據趨勢科技報告，新的駭侵活動使用合法的開源XMRig cryptominer，並結合利用Cacti的Network Weathermap套件中的舊漏洞(CVE-2013-2618)。該漏洞是Network Weathermap版本0.97b之前editor.php的跨站腳本漏洞，允許遠程攻擊者透過map_title參數注入任意web腳本或HTML。

這波駭侵活動較有針對性，主要影響日本，台灣，中國，美國和印度。

趨勢科技表示，此次利用舊的安全漏洞的原因(從2014年6月起，Network Weathermap目前只有兩個公開報告的漏洞)。可能是攻擊者不僅有可利用的安全缺陷漏洞，也可以針對那些更新遲緩的開源工具使用群。

趨勢科技將此駭侵活動追溯到與兩個Monero錢包相關的兩個用戶帳號，其中截至3月21日已存入74,677美元。然而，趨勢團隊注意到，這次活動背後的駭客在Tesla和Jenkins伺服器入侵事件時賺到了超過300萬美元，並都使用了XMRig。

然而針對此活動，攻擊者需要透過具有特定設置的目標才能獲得成功。

這包括運行Linux(x86-64)的Web伺服器，並且伺服器必須可公開訪問。 Cacti套件必須在過時的Network Weathermap(0.97a及以前版本)的套件系統，Web伺服器不能要求身份驗證，以及Web伺服器應以root權限運行。

趨勢研究人員推論除了上述前兩個問題較常見外，會使用公開共享網路資料(Cacti)以及以root身份運行Web伺服器的，應是伺服器運營商可能會對此進行設置，以便透過基本的瀏覽器書籤等方式來監控伺服器，但這也使任何駭客也能更輕鬆地搜尋到並獲取存取權限。

趨勢科技建議，由於將Linux伺服器轉變為挖掘作業，需要未修補較舊漏洞，因此防止此類攻擊的最佳方法是使用最新的修補程序更新系統。

●TWCERT/CC建議，使用任何平台及作業系統務必將作業環境及所有安裝的套件及應用程式等軟體保持最新版本與修補，防毒軟體並應保持最新病毒碼，以免遭駭客利用。

參考連結：

https://www.scmagazine.com/hackers-exploit-old-flaw-to-turn-linux-servers-into-cryptocurrency-
https://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-miner-distributed-via-php-