La nueva campaña utiliza el cryptominer XMRig legítimo y de código abierto junto con la explotación de la antigua vulnerabilidad CVE-2013-2618, que se encuentra en el plugin Cacti’s Network Weathermap, según un informe del equipo de investigadores de seguridad de la información. La vulnerabilidad es una vulnerabilidad de scripts entre sitios en editor.php en Network Weathermap antes de 0.97b y permite a los atacantes remotos inyectar script web o HTML arbitrario a través del parámetro map_title.

Esta campaña activa está afectando principalmente a Japón, Taiwán, China, EE. UU. Y la India.

“En cuanto a por qué están explotando una falla de seguridad anterior: Network Weathermap solo tiene dos vulnerabilidades reportadas públicamente hasta el momento, ambas desde junio de 2014. Es posible que estos atacantes estén aprovechando no solo un fallo de seguridad para el cual un exploit está disponible, sino también del parche que ocurre en las organizaciones que usan la herramienta de código abierto “, escribió el equipo de investigadores de seguridad de la información.

El equipo pudo rastrear la actividad hasta dos nombres de usuarios asociados con dos billeteras Monero donde se depositaron $ 74, 677 hasta el 21 de marzo. Sin embargo, el equipo de investigadores señaló que las personas detrás de esta campaña han realizado más de $ 3 millones cuando Tesla hackeo y la explotación de vulnerabilidades del servidor Jenkins están incluidas. En cada uno de estos casos, también se usó XMRig.

“Network Weathermap solo tiene dos vulnerabilidades reportadas públicamente hasta el momento, ambas desde junio de 2014 “

Los atacantes necesitan buscar objetivos con una configuración muy específica para tener éxito.

Esto incluye tener un servidor web que ejecute Linux (x86-64) y el servidor debe ser de acceso público. El plugin Cacti debe estar presente e implementado con la arquitectura de plugin funcionando y un Weathermap de red obsoleto (0.97a y anteriores), el servidor web no debe requerir autenticación y finalmente el servidor web debe ejecutarse con permisos de root.

Debido a que convertir un servidor Linux en una operación de minería requiere que una vulnerabilidad anterior se deje sin parchear, la mejor forma de protegerse contra dicho ataque es mantener los sistemas actualizados con los últimos parches, sugirieron profesionales de la seguridad de la información.