黑客利用Apache CouchDB中的两个“老漏洞”挖掘门罗币

“用指尖改变世界”

随着加密数字货币的日益普及,伴之而来的是越来越多的滥用加密货币挖矿机的黑客攻击活动。根据趋势科技监测到的数据,一种新的攻击被发现(攻击活动在本月初达到最高峰),正利用流行数据库管理系统CouchDB中的两个漏洞感染目标设备,并将其转变成门罗币“矿工”。

Apache CouchDB是一个用Erlang开发的开源数据库管理系统,旨在将可扩展的体系结构与易于使用的界面相结合。CouchDB最大的意义在于它是一个面向web应用的存储系统,它的1.0版本在2010年7月14日发布,其最初的口号就是:下一代的Web应用存储系统。根据DB-Engines的排名,CouchDB在300位中排名第28,并被一些大型企业所采用,就比如英国广播公司(BBC)

趋势科技表示,此次被利用的两个漏洞是在2017年11月15日被公开披露。它们分别是CVE-2017-12635和CVE-2017-12636,前者被描述为远程特权提升漏洞,后者则是一个命令执行漏洞。

具体来讲,CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的,可被利用于赋予任意用户系统管理员权限;CVE-2017-12636则是由于数据库自身设计原因导致的,拥有系统管理员权限的用户可以通过HTTP(S)方式配置数据库。在某些配置中,用户可以设置可执行文件的路径,以在数据库运行范围内执行。两者结合,则可实现任意代码远程执行。

在趋势科技最新发现的攻击中,黑客便利用了这两个漏洞来下载并执行最终的有效载荷。这是一个名为“logo6.jpg”的文件,实际上是一个Bourne shell脚本,可以执行多个操作。

首先,它会通过杀死其他可能存在的挖矿活动进程来确保自己的唯一性。然后,才会下载并执行加密货币挖矿所需的可执行文件,并进行配置。此外,它通过安装预定的cron计划任务来保持持久性

趋势科技强调,加密货币挖矿恶意软件不仅会降低受感染系统的性能,还会带来大量潜在的安全问题,从信息窃取到下载其他更多的恶意软件。

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180226B08FNJ00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券