Бесплатно Экспресс-аудит сайта:

01.06.2023

Злоумышленники добывают криптовалюту на незащищенных серверах Apache NiFi

Эксперты из SANS Internet Storm Center (ISC) обнаружили активную кампанию поиска и заражения серверов Apache NiFi , которые не имеют пароля или других мер защиты. Цель атакующих — установить на серверах скрытый майнер криптовалюты и распространиться на другие системы внутри организации.

Apache NiFi — это платформа для обработки и распределения данных в реальном времени. Она позволяет автоматизировать потоки данных между различными источниками и приемниками. По словам исследователей, серверы Apache NiFi часто имеют доступ к критическим корпоративным данным и к тому же обладают большими вычислительными ресурсами, что делает их привлекательными для злоумышленников.

Как выяснилось, атакующие сканируют интернет в поисках серверов Apache NiFi с открытым портом 8080 или 8443/TCP и отправляют HTTP-запросы на адрес «/nifi». Если сервер не требует аутентификации, они выполняют на нем зловредный скрипт, который загружается во временную память и не сохраняется на диске.

Скрипт выполняет несколько действий: удаляет файл «/var/log/syslog», отключает брандмауэр, завершает работу конкурирующих майнеров криптовалюты, если таковые имеются, а также скачивает и запускает вредоносную программу Kinsing с удаленного сервера.

Kinsing — это известный майнер криптовалюты, который использовал уязвимости в веб-приложениях Oracle WebLogic Server для своих атак в прошлом году.

В некоторых случаях атакующие также запускают второй скрипт, который собирает SSH-ключи с заражённого хоста и пытается подключиться к другим системам внутри организации.

Основным индикатором компрометации является IP-адрес «109.207.200.43», с которого производятся атаки и сканирование.

«Атака крайне простая, если сервер NiFi не защищен», — предупреждают эксперты из SANS ISC.

Рекомендация одна, и она довольно очевидна — администраторам необходимо проверить свои серверы Apache NiFi на наличие пароля или других механизмов безопасности. А в случае отсутствия таких элементарных защитных мер — настроить их в обязательном порядке.