Scoperta una nuova campagna di attacco che sfrutta una vulnerabilità di Apache HTTP Server
I ricercatori di cybersecurity hanno individuato una nuova campagna che sfrutta una nota vulnerabilità di sicurezza che colpisce Apache HTTP Server per distribuire un cryptocurrency miner chiamato Linuxsys. La vulnerabilità in questione è CVE-2021-41773 (punteggio CVSS: 7.5), una vulnerabilità di path traversal ad alta gravità nella versione 2.4.49 di Apache HTTP Server che potrebbe portare all’esecuzione di codice da remoto.
Secondo un rapporto di VulnCheck condiviso con The Hacker News, “l’attaccante sfrutta siti web legittimi compromessi per distribuire malware, consentendo una consegna furtiva e l’elusione del rilevamento”. La sequenza di infezione, osservata all’inizio di questo mese e originata da un indirizzo IP indonesiano 103.193.177[.]152, è progettata per scaricare un payload di fase successiva da “repositorylinux[.]org” utilizzando curl o wget.
Dettagli della campagna di attacco
Il payload è uno script shell responsabile del download del cryptocurrency miner Linuxsys da cinque diversi siti web legittimi, suggerendo che gli attori della minaccia dietro la campagna sono riusciti a compromettere infrastrutture di terze parti per facilitare la distribuzione del malware. “Questo approccio è intelligente perché le vittime si connettono a host legittimi con certificati SSL validi, rendendo meno probabile il rilevamento”, ha osservato VulnCheck. “Inoltre, fornisce un livello di separazione per il sito downloader (‘repositorylinux[.]org’) poiché il malware stesso non è ospitato lì”.
I siti ospitano anche un altro script shell chiamato “cron.sh” che garantisce che il miner venga avviato automaticamente al riavvio del sistema. La società di cybersecurity ha anche identificato due eseguibili Windows sui siti compromessi, sollevando la possibilità che gli attaccanti stiano prendendo di mira anche il sistema operativo desktop di Microsoft.
Vulnerabilità sfruttate in passato
È interessante notare che gli attacchi che distribuiscono il miner Linuxsys hanno precedentemente sfruttato una grave vulnerabilità di sicurezza in OSGeo GeoServer GeoTools (CVE-2024-36401, punteggio CVSS: 9.8), come documentato da Fortinet FortiGuard Labs nel settembre 2024. Alcune delle altre vulnerabilità sfruttate per distribuire il miner negli ultimi anni includono:
- CVE-2023-22527, una vulnerabilità di template injection in Atlassian Confluence Data Center e Confluence Server.
- CVE-2023-34960, una vulnerabilità di command injection in Chamilo Learning Management Systems (LMS).
- CVE-2023-38646, una vulnerabilità di command injection in Metabase.
- CVE-2024-0012 e CVE-2024-9474, vulnerabilità di authentication bypass e privilege escalation nei firewall di Palo Alto Networks.
“Tutto ciò indica che l’attaccante sta conducendo una campagna a lungo termine, impiegando tecniche coerenti come lo sfruttamento di n-day, la messa in scena di contenuti su host compromessi e il coin mining su macchine vittime”, ha affermato VulnCheck. “Parte del loro successo deriva da un targeting accurato”.
Fonte: The Hackers News
