Hacker ใช้ช่องโหว่ 5 ปี ของ Linux Server ติดตั้ง Monero Miner

บริษัทรักษาความปลอดภัยของอเมริกา Trend Micro ได้พบหลักฐานการโจมตีที่เหมือนกับการโจมตี Jenkins servers ในอดีต โดยกลุ่ม Hacker จะทำการติดตั้ง Monero Miner บน Server ของ Linux โดยใช้ช่องโหว่อายุ 5 ปีซึ่งเป็น Plugin Network Weathermap (แผนที่ของระบบเครือข่ายที่แสดงสถานะ โดยสามารถบอกได้ว่าการส่งของมูลระหว่างอุปกรณ์อยู่ในระดับใด) ของ Cacti ในตอนนี้ Hacker ใด้ใช้ประโยชน์จากช่องโหว่นี้ทำรายได้เกือบ 320 XMR หรือ 75,000 เหรียญ โดยหมายเลขช่องโหว่คือ CVE-2013-2618

Hacker จะอาศัยช่องโหว่นี้เพื่อเพิ่มความสามารถในการรันโค้ดจากระยะไกล (code execution) บน Server จากนั้นจะทำการติดตั้ง XMRig ซึ่งเป็นโปรแกรมสำหรับใช้ขุด Monero นอกจากนี้ Hacker ยังทำการแก้ไขคำสั่งที่ระบุไว้เพื่อให้ทำตามเวลาที่กำหนด (Cron jobs) ในลีนุกซ์เพื่อกระตุ้น “watchd0g” ซึ่งเป็นสคริปต์ Bash ทุกๆ 3 นาที เพื่อเช็คสถานะของตัวขุดว่ายังทำงานอยู่หรือไม่ และ Restart กระบวนการ การทำงานของ XMRig หากมันไม่ทำงาน

เหยื่อส่วนใหญ่ที่พบในตอนนี้อยู่ในประเทศญี่ปุ่น (12%) จีน (10%) ไต้หวัน (10%) และสหรัฐอเมริกา (9%) อย่างไรก็ดี Cacti นั้นไม่ได้ถูกออกแบบมาเพื่อใช้งานในแบบออนไลน์ ซึ่งสามารถใช้งานแค่ภายในระบบเครือข่ายเท่านั้น ดังนั้นการที่ระบบรันมาตลอด 5 ปี โดยไม่ได้ทำการอัปเดตแพทช์จึงเสี่ยงต่อการโดนโจมตีเป็นอย่างมาก ดังนั้นผู้ดูแลระบบจึงควรทำการอัปเดตให้เรียบร้อย

ที่มา : Bleeping Computer