La société Volexity a récemment pu constater l’exploitation de la vulnérabilité référencée CVE-2018-11776 par un groupe d’attaquants afin de déployer une solution de minage de cryptomonnaie.
Cette vulnérabilité permet la compromission d’un système distant s’il remplit les conditions suivantes :
- Le paramètre « alwaysSelectFullNamespace » est activé dans la configuration Struts.
- Le fichier de configuration Struts contient un tag « action » ou « url » pour lequel aucun paramètre optionnel « namespace » n’a été précisé de manière spécifique (aucun paramètre « namespace », ou paramètre avec valeur wildcard « * »).
L’attaque consistait à installer la solution « CNRig cryptocurrency miner », afin de générer de la cryptomonnaie au travers d’un script de lancement. Ces deux outils sont accessibles aux adresses suivantes
- https://github.com/cnrig/cnrig/releases/download/v0.1.5-release/cnrig-0.1.5-linux-x86_64
- https://bitbucket.org/c646/zz/downloads/upcheck.sh
Trois architectures étaient prévues par ce script : Intel, ARM et MIPS. Chacun des exécutables avait ensuite la particularité de compromettre les équipements présents sur le réseau adjacent afin d’impacter le maximum d’équipements.
Référence
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article