Hackere Udnytter Sikkerhedsfejl i XWiki
Ifølge en nylig rapport udnytter hackere en sikkerhedsfejl i XWiki, en webbaseret platform til indholdsskabelse, til at køre programmer på computere, de ikke ejer. Fejlen i XWikis skabelonsystem har gjort det muligt for ondsindede aktører at mine Monero (XMR) kryptovaluta uden tilladelse.
Angrebsmetode
Hackere sender en anmodning, der downloader et lille program (x640) til computeren hos et uheldigt offer. Senere kører en anden anmodning dette program, som downloader to yderligere scripts (x521 og x522), der installerer en Monero-miner (tcrond) og får den til at køre, samtidig med at den stopper enhver anden mining på den inficerede maskine.
Dataoverførsel og Sikkerhedsrisici
De Monero-tokens, der mines med den hackede computer, sendes derefter via c3pool.org. Hacker News-rapporten, som citerer data fra CISA, nævner også sikkerhedsfejl i DELMIA Apriso, der gør det muligt for hackere at køre kode eksternt på en lignende måde.
Forebyggelse og Foranstaltninger
De, der potentielt er blevet ofre for cryptojacking – praksis med ulovligt at mine kryptovaluta ved hjælp af en andens maskine – bør blokere IP-adresserne og overvåge netværket for forbindelser til c3pool.org.
Selvfølgelig bør man også fjerne de filer, der er forbundet med mineren, hvis de findes på den inficerede computer.
