Nowy botnet kopiący kryptowalutę – na celu podatne JBossy, zysk ~200 000 PLN

Zacznijmy od bohatera drugoplanowego – to krytyczna podatność w JBoss (Redhat załatał z oceną krytyczności 9,8/10) – nie wymaga ona uwierzytelnienia, a umożliwia wykonanie dowolnego kodu na serwerze, poprzez deserializację.

Co gorsza, całość jest dość prosta do wykorzystania… Wystarczy jeden request HTTP typu POST i voila…

shell, nie zawsze musi to być root…

Podatność występowała do ~września 2017r. – w JBossach od 3.0.3 (2002 rok…) do wersji mniejszych od 7.

Czarnym bohaterem pierwszoplanowym jest z kolei botnet wykorzystujący wspomnianą podatność. Co robi? Przede wszystkim kopie Monero (szacunki zysku to około $60 000 – szczegóły namierzenia kont w oryginalnym poście) i dodatkowo ma możliwość samodzielnego skanowania kolejnych adresów IP w poszukiwaniu innych, podatnych JBossów.

–ms