Apache под ударом: как хакеры используют CVE-2021-41773
Обнаружена новая кампания, которая распространяет майнер криптовалют Linuxsys через уязвимостьCVE-2021-41773 (оценка CVSS: 7,5)в системе безопасности Apache HTTP Server версии 2.4.49. Эта уязвимость позволяет злоумышленникам удаленно исполнять код.
Apache HTTP Server — это веб-сервер с открытым исходным кодом для хостинга веб-сайтов и приложений, широко используемый компаниями и организациями по всему миру.
В этом месяце была зарегистрирована цепочка заражений, инициированная с индонезийского IP-адреса 103.193.177.152, направленная для доставки полезной нагрузки с ресурса "repositorylinux[.]org" с использованием curl* либо wget**. Задача - скачивание криптовалютного майнера Linuxsys с разных доверенных веб-ресурсов. Данный факт свидетельствует о компрометации внешних инфраструктурных элементов злоумышленниками.
Мы проверили IP-адрес с помощью сервиса VirusTotal. Анализ показал, что адрес вредоносный (рис. 1).
Для распространения вредоносного ПО используются взломанные легитимные веб-сайты. Вероятность обнаружения снижает и тот факт, что жертвы подключаются к хостам с действительным SSL-сертификатом.
Также на сайтах размещен скрипт «cron.sh», обеспечивающий автоматический запуск майнера при перезагрузке системы.
Успех кампаний обусловлен тщательным подбором целей. Но не все так однозначно. Снизить риск внедрения криптодобытчиков поможет соблюдение рекомендаций: