Si vous exécutez une instance Apache NiFi exposée sur le Web et que vous n’en avez pas protégé l’accès, l’hôte sous-jacent peut actuellement être en train de cryptominer secrètement pour le compte de quelqu’un d’autre.
L’attaque
Les indicateurs de la campagne en cours ont été repérés pour la première fois par le SANS Web Storm Center lorsque, le 19 mai, leur réseau de capteurs dispersés a identifié un pic considérable de demandes pour « / nifi ».
Après avoir redirigé certaines des demandes vers leur système de pot de miel exécutant la version la plus récente (v1.21.0) de la solution de traitement et de circulation de l’information, ils ont découvert que quelqu’un :
- Accédait à des installations non sécurisées
- Y compris des processeurs arrangés pour récupérer et installer des scripts qui installent un mineur de crypto-monnaie (Kinsing) et, dans certains cas, des efforts pour trouver d’autres cibles connectées en parcourant le serveur pour les informations d’identification SSH
Les deux scripts sont conservés en mémoire (c’est-à-dire qu’ils ne sont pas conservés dans le système de fichiers).
Le premier tente de faire des choses comme désactiver le programme de pare-feu et les outils de suivi, découvrir et mettre fin à d’autres outils de cryptominage, installer le cryptomineur Kinsing, rendre les sites de répertoires momentanés standard immuables (susceptibles d’empêcher d’autres exploits), et plus.
Le 2ème essaie de déterminer l’adresse IP externe de la victime, rassemble les secrets SSH du système et tente de se connecter à d’autres hôtes et de publier le script fournissant le cryptomineur.
« Le les requêtes sont apparues presque spécifiquement à partir de 109.207.200.43. En plus de rechercher NiFi, la même adresse IP envoie également des requêtes pour/boaform/admin/formLogin. Divers routeurs utilisent cette URL comme page de connexion et sont souvent analysés à la recherche de mots de passe faibles et d’autres vulnérabilités. « , a déclaré le Dr Johannes Ullrich, doyen de la recherche à l’Institut de technologie SANS.
Il a déclaré à Aid Net Security que, sur la base du mouvement latéral qu’ils déclarent, il pense que l’adversaire utilise probablement les routeurs comme tremplin pierre.
« Les routeurs font de mauvais serveurs de cryptominage. Le cryptominage peut être ce qu’ils finissent par faire si le mouvement latéral ne les mène nulle part (comme notre pot de miel était sur un réseau isolé sans endroit où aller). «
Combien de cas Apache NiFi non sécurisés existe-t-il ?
Dr. Ullrich dit en avoir découvert environ 100, mais il y en a probablement plus. La plupart des cas non sécurisés trouvés sont hébergés par des entreprises potentielles (par exemple, Azure).
« En raison de son utilisation en tant que plate-forme de traitement de données, les serveurs NiFi ont fréquemment accès à des données critiques pour l’entreprise. NiFi fournit une solution attrayante cible pour quiconque veut voler, modifier ou effacer les informations », déclare-t-il.
Ils sont également configurés avec des processeurs plus gros pour prendre en charge les tâches d’amélioration des informations, ce qui implique qu’ils peuvent également prendre en charge facilement les activités de cryptomining.
SANS ISC a proposé les scripts et indicateurs nuisibles qui indiquent un compromis : tâches cron malveillantes pour la persévérance, processeurs étranges dans la configuration NiFi, adresses IP et hachages des scripts et du cryptomineur.
En général, cependant, les instances Apache NiFi ne doivent pas être accessibles sur Internet et y accéder doivent être correctement sécurisés (comme conseillé et indiqué dans le guide officiel de l’administrateur système).
Toute l’actualité en temps réel, est sur L’Entrepreneur