Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareVulnerabilità

Vulnerabilità nota di Jenkins sfruttata attivamente per estrarre Monero

Jenkins  monero  XMRig   venerdì, 16 febbraio 2018

Il team di ricerca di Check Point ha recentemente scoperto una vasta campagna fraudolenta di estrazione della criptovaluta Monero (XMR) ai danni dei gestori di server CI (Continuous Integration) Jenkins.

Gli attacchi sfruttano una vulnerabilità critica di tipo esecuzione di codice da remoto (CVE-2017-1000353), nota da aprile del 2017, che affligge le versioni di Jenkins fino alla 2.56 (Weekly release) e fino alla 2.46.1 LTS (Long-term Support).

La vulnerabilità è legata ad un problema nella deserializzazione di oggetti Java inviati tramite la funzionalità di remotizzazione della CLI. Un attaccante remoto non autenticato potrebbe sfruttare questa vulnerabilità inviando ad un server Jenkins vulnerabile un oggetto Java “SignedObject” serializzato appositamente predisposto contenente codice malevolo. L’oggetto verrà deserializzato sul server ignorando il meccanismo di protezione esistente basato su blacklist. Se sfruttata con successo, questa vulnerabilità consente all’attaccante di eseguire codice arbitrario da remoto sul server.

Stando a quanto riportato da Check Point, l’autore di questa nuova campagna, presumibilmente di origine cinese, sarebbe responsabile di un’altra vasta campagna di mining, lanciata attorno ad ottobre del 2017 e basata sul tool open source XMRig, che avrebbe fruttato al cybercriminale più di tre milioni di dollari in Monero.

L’attacco ai server Jenkins sfrutta la vulnerabilità descritta per scaricare da un server remoto il file malevolo minerxmr.exe e mandarlo in esecuzione sul sistema Windows sottostante. L’eseguibile è una combinazione tra un remote access trojan (RAT) ed XMRig ed è in grado di girare su diverse versioni di Windows. Una volta lanciato, il miner fraudolento inizia immediatamente ad estrarre Monero sfruttando le risorse di computazione della macchina infetta, inviando i profitti al portafoglio virtuale dell’attaccante.

Si raccomanda ai gestori di server Jenkins esposti sulla rete Internet di aggiornare la piattaforma alla versione 2.57 o alla 2.46.2 LTS (o versioni più recenti) e di disabilitare la modalità di remotizzazione della CLI, ormai deprecata, utilizzando una delle altre modalità disponibili (HTTP o SSH).

Per informazioni più dettagliate sulla vulnerabilità della piattaforma Jenkins, sugli aggiornamenti disponibili e sulle soluzioni di mitigazione si suggerisce di consultare le fonti seguenti (in Inglese):

Notizie correlate

Il cryptominer KingMiner utilizza il 100% della CPU su server Microsoft

3 dicembre 2018

I ricercatori di sicurezza di Check Point hanno individuato un nuovo cryptominer, battezzato KingMiner, che prende di mira i server Microsoft Windows per estrarre Monero.Leggi tutto

MassMiner: nuovo malware per il mining di criptovalute attacca server vulnerabili

4 maggio 2018

I ricercatori di Alien Vault hanno identificato una nuova famiglia di malware per il mining di criptovalute, battezzata MassMiner, che si diffonde come un worm sfruttando un gran numero di exploit per diversi sistemi e server.Leggi tutto

ADB.Miner: scoperto bot Android per il mining di criptovaluta

8 febbraio 2018

I ricercatori di sicurezza della società Qihoo 360 hanno scoperto una botnet che coinvolge dispositivi Android e li sfrutta per effettuare il mining della criptovaluta Monero.Leggi tutto