Cryptocurrency miners misbruiken vijf jaar oude kwetsbaarheid in Linux-servers

Abonneer je gratis op Techzine!

Hackers gebruiken een vijf jaar oude kwetsbaarheid om Linux-servers te infecteren met malware waarmee cryptocurrencies gemined worden. Het gaat om VE-2013-2618, een oude kwetsbaarheid in de Network Weathermap plug-in van Cacti. Dat is een open source tool die gebruikt wordt door systeemadministrators om de netwerkactiviteit te visualiseren.

Dat schrijft ZDNet vandaag op basis van bericht van onderzoekers van Trend Micro. De kwetsbaarheid waar het om draait, werd in april 2013 ontdekt en er is al zo’n vijf jaar een patch voor beschikbaarheid. Lang niet iedereen blijkt die te gebruiken, want de hackers gebruiken de kwetsbaarheid nog altijd.

Geheime activiteit

De hackers richten zich vooral op x86-64 webservers die publiekelijk bereikbaar zijn. De meeste doelwitten bevinden zich in Japan, Taiwan, China en de Verenigde Staten. De aanvallers gebruiken de exploit om een verzoek naar de server te sturen die hen toestaat code in te zien. Door de kwetsbaarheid is het ook mogelijk om de code te veranderen en een monero-miner te installeren.

Het proces wordt elke drie minuten opnieuw gestart. Mocht een systeem dus tijdelijk offline gaan, wordt het na de herstart weer gelanceerd. De miner die gebruikt wordt is een XMig-tol, een open soure moner-miner. Die krijgt volgens Trend Micro de opdracht relatief weinig cpu te gebruiken, zodat gebruikers nauwelijks iets merken.

Naar het schijnt is de miner redelijk succesvol en zou er al bijna 3 miljoen dollar aan monero verzameld zijn hiermee.