İnternette açığa çıkan bir Apache NiFi örneği çalıştırıyorsanız ve buna güvenli erişiminiz yoksa, temeldeki ana bilgisayar zaten başka birinin adına gizlice kripto madenciliği yapıyor olabilir.
saldırı
Devam eden kampanyanın göstergeleri ilk olarak SANS İnternet Fırtına Merkezi tarafından 19 Mayıs’ta dağıtılmış sensör ağları “/nifi” taleplerinde önemli bir artış tespit ettiğinde tespit edildi.
İsteklerin bir kısmını veri işleme ve dağıtım çözümünün en son sürümünü (v1.21.0) çalıştıran bal küpü sistemlerine yönlendirdikten sonra, birisinin:
- Güvenli olmayan kurulumlara erişme
- Bir kripto para madencisi (Kinsing) yükleyen ve bazı durumlarda sunucuda SSH kimlik bilgilerini arayarak diğer bağlı hedefleri bulmaya çalışan komut dosyalarını almak ve yüklemek için programlanmış işlemciler ekleme
Her iki komut dosyası da bellekte tutulur (yani, dosya sistemine kaydedilmezler).
İlki, güvenlik duvarını ve izleme araçlarını devre dışı bırakmak, diğer kripto madenciliği araçlarını bulmak ve sonlandırmak, Kinsing kripto madencisini kurmak, standart geçici dizinleri değiştirilemez yapmak (muhtemelen ek istismarları önlemek için) ve daha fazlasını yapmaya çalışır.
İkincisi, kurbanın harici IP adresini belirlemeye çalışır, sistemden SSH anahtarlarını toplar ve diğer ana bilgisayarlara bağlanmaya ve cryptominer’ı teslim eden komut dosyasını dağıtmaya çalışır.
“İstekler neredeyse yalnızca 109.207.200.43’ten geldi. Aynı IP, NiFi taramasına ek olarak /boaform/admin/formLogin için istekler de gönderir. SANS Teknoloji Enstitüsü Araştırma Dekanı Dr. Johannes Ullrich, çeşitli yönlendiriciler bu URL’yi oturum açma sayfası olarak kullanır ve genellikle zayıf parolalar ve diğer güvenlik açıkları için taranır.
Help Net Security’ye söyledikleri yanal harekete dayanarak saldırganın yönlendiricileri bir basamak olarak kullandığını düşündüğünü söyledi.
“Yönlendiriciler, kötü kripto madenciliği sunucuları oluşturur. Yanal hareket onları bir yere götürmezse (bal küpümüzün gidecek hiçbir yeri olmayan izole bir ağda olması gibi) kripto madenciliği yapmak zorunda kalabilirler.”
Kaç tane güvenli olmayan Apache NiFi örneği var?
Dr. Ullrich 100 civarında bulduğunu söylüyor ama muhtemelen daha fazlası var. Keşfedilen güvenli olmayan örneklerin çoğu, potansiyel sağlayıcılarda (örn. Azure) barındırılır.
“Bir veri işleme platformu olarak kullanılması nedeniyle, NiFi sunucuları genellikle iş açısından kritik verilere erişebilir. NiFi, verileri çalmak, değiştirmek veya silmek isteyen herkes için çekici bir hedef sunuyor” diyor.
Ancak veri dönüştürme görevlerini desteklemek için daha büyük CPU’larla yapılandırılırlar, bu da kripto madenciliği faaliyetlerini kolayca destekleyebilecekleri anlamına gelir.
SANS ISC, uzlaşmaya işaret eden kötü amaçlı betikleri ve göstergeleri sağladı: kalıcılık için kötü niyetli cron işleri, NiFi yapılandırmasındaki tek işlemciler, IP adresleri ve betiklerin ve kripto madencinin hash’leri.
Bununla birlikte, genel olarak, Apache NiFi örnekleri internete dönük olmamalıdır ve bunlara erişim uygun şekilde güvence altına alınmalıdır (resmi sistem yöneticisi kılavuzunda önerildiği ve talimat verildiği şekilde).