Une vague d’attaque destinée à générer de la cryptomonnaie exploite la vulnérabilité CVE-2018-11776 affectant Apache Struts

Une vague d’attaque destinée à générer de la cryptomonnaie exploite la vulnérabilité CVE-2018-11776 affectant Apache Struts

La société Volexity a récemment pu constater l’exploitation de la vulnérabilité référencée CVE-2018-11776 par un groupe d’attaquants afin de déployer une solution de minage de cryptomonnaie.

Cette vulnérabilité permet la compromission d’un système distant s’il remplit les conditions suivantes  :

  • Le paramètre « alwaysSelectFullNamespace » est activé dans la configuration Struts.
  • Le fichier de configuration Struts contient un tag « action » ou « url » pour lequel aucun paramètre optionnel « namespace » n’a été précisé de manière spécifique (aucun paramètre « namespace », ou paramètre avec valeur wildcard « * »).

L’attaque consistait à installer la solution « CNRig cryptocurrency miner », afin de générer de la cryptomonnaie au travers d’un script de lancement. Ces deux outils sont accessibles aux adresses suivantes

Trois architectures étaient prévues par ce script : Intel, ARM et MIPS. Chacun des exécutables avait ensuite la particularité de compromettre les équipements présents sur le réseau adjacent afin d’impacter le maximum d’équipements.


Référence

https://www.volexity.com/blog/2018/08/27/active-exploitation-of-new-apache-struts-vulnerability-cve-2018-11776-deploys-cryptocurrency-miner/


Jean-Christophe Pellat

Cert-XMCO