0
0
Se você estiver executando uma instância do Apache NiFi exposta na Internet e não tiver protegido o acesso a ela, o host subjacente pode já estar criptominerando secretamente em nome de outra pessoa.
O ataque
Os indicadores da campanha em andamento foram detectados pela primeira vez pelo SANS Internet Storm Center quando, em 19 de maio, sua rede de sensores distribuídos detectou um aumento significativo nas solicitações de “/nifi”.
Depois de redirecionar algumas das solicitações para seu sistema honeypot executando a versão mais recente (v1.21.0) da solução de processamento e distribuição de dados, eles descobriram que alguém é:
- Acessando instalações não seguras
- Adicionar processadores agendados para recuperar e instalar scripts que instalam um minerador de criptomoedas (Kinsing) e, em alguns casos, tentar encontrar outros alvos conectados pesquisando credenciais SSH no servidor
Ambos os scripts são mantidos na memória (ou seja, não são salvos no sistema de arquivos).
O primeiro tenta fazer coisas como desativar o firewall e as ferramentas de monitoramento, encontrar e encerrar outras ferramentas de criptomineração, instalar o criptominerador Kinsing, tornar os diretórios temporários padrão imutáveis (provavelmente para evitar explorações adicionais) e muito mais.
O segundo tenta determinar o endereço IP externo da vítima, coleta chaves SSH do sistema e tenta se conectar a outros hosts e implantar o script que entrega o criptominerador.
“Os pedidos chegaram quase que exclusivamente a partir de 109.207.200.43. Além de procurar NiFi, o mesmo IP também envia solicitações para /boaform/admin/formLogin. Vários roteadores usam essa URL como uma página de login e muitas vezes são verificados em busca de senhas fracas e outras vulnerabilidades”, disse o Dr. Johannes Ullrich, decano de pesquisa do SANS Technology Institute.
Ele disse à Help Net Security que, com base no movimento lateral que eles dizem, ele acha que o invasor provavelmente está usando os roteadores como um trampolim.
“Os roteadores fazem servidores de criptomineração ruins. A criptomineração pode ser o que eles acabam fazendo se o movimento lateral não os levar a lugar algum (como nosso honeypot estava em uma rede isolada sem ter para onde ir).”
Quantas instâncias Apache NiFi não seguras existem?
Ullrich diz que encontrou cerca de 100, mas provavelmente há mais. Muitas das instâncias não seguras descobertas são hospedadas com provedores de nuvem (por exemplo, Azure).
“Devido ao seu uso como uma plataforma de processamento de dados, os servidores NiFi geralmente têm acesso a dados críticos para os negócios. O NiFi apresenta um alvo atraente para quem quer roubar, modificar ou excluir os dados”, diz.
Mas eles também são configurados com CPUs maiores para suportar tarefas de transformação de dados, o que significa que também podem suportar facilmente atividades de criptomineração.
O SANS ISC forneceu os scripts e indicadores maliciosos que apontam para o comprometimento: trabalhos cron maliciosos para persistência, processadores estranhos na configuração NiFi, endereços IP e hashes dos scripts e do criptominerador.
Em geral, porém, as instâncias do Apache NiFi não devem ser voltadas para a Internet e o acesso a elas deve ser devidamente protegido (conforme aconselhado e instruído no guia oficial do sysadmin).
FONTE: HELPNET SECURITY