01/06/23
Эксперты из SANS Internet Storm Center (ISC) обнаружили активную кампанию поиска и заражения серверов Apache NiFi, которые не имеют пароля или других мер защиты. Цель атакующих — установить на серверах скрытый майнер криптовалюты и распространиться на другие системы внутри организации, пишет Securitylab.
Apache NiFi — это платформа для обработки и распределения данных в реальном времени. Она позволяет автоматизировать потоки данных между различными источниками и приемниками. По словам исследователей, серверы Apache NiFi часто имеют доступ к критическим корпоративным данным и к тому же обладают большими вычислительными ресурсами, что делает их привлекательными для злоумышленников.
Как выяснилось, атакующие сканируют интернет в поисках серверов Apache NiFi с открытым портом 8080 или 8443/TCP и отправляют HTTP-запросы на адрес «/nifi». Если сервер не требует аутентификации, они выполняют на нем зловредный скрипт, который загружается во временную память и не сохраняется на диске.
Скрипт выполняет несколько действий: удаляет файл «/var/log/syslog», отключает брандмауэр, завершает работу конкурирующих майнеров криптовалюты, если таковые имеются, а также скачивает и запускает вредоносную программу Kinsing с удаленного сервера.
Kinsing — это известный майнер криптовалюты, который использовал уязвимости в веб-приложениях Oracle WebLogic Server для своих атак в прошлом году.
В некоторых случаях атакующие также запускают второй скрипт, который собирает SSH-ключи с заражённого хоста и пытается подключиться к другим системам внутри организации.
Основным индикатором компрометации является IP-адрес «109.207.200.43», с которого производятся атаки и сканирование.
«Атака крайне простая, если сервер NiFi не защищен», — предупреждают эксперты из SANS ISC.
Рекомендация одна, и она довольно очевидна — администраторам необходимо проверить свои серверы Apache NiFi на наличие пароля или других механизмов безопасности. А в случае отсутствия таких элементарных защитных мер — настроить их в обязательном порядке.
