Les pirates exploitant rTorrent pour installer des pièces Unix mineur ont gagné 4k $ jusqu’à présent

Les pirates qui exploitent rTorrent pour installer le monnayeur Unix ont déjà gagné 4 000 $AgrandirElembis

Les attaquants ont généré 3 900 $ jusqu’à présent dans une campagne en cours c’est exploiter l’application populaire rTorrent pour installer logiciel d’extraction de devises sur les ordinateurs fonctionnant sous Unix systèmes, ont déclaré des chercheurs jeudi.

Lectures complémentaires

Les utilisateurs de BitTorrent doivent se méfier: Flaw permet aux pirates de contrôler votre ordinateur les vulnérabilités de mauvaise configuration sont similaires à certains égards � Tavis Ormandy, chercheur chez Google Project Zero, a récemment annoncé dans les applications uTorrent et Transmission BitTorrent. Preuve de concept attaques Ormandy a développé des faiblesses exploitées dans les programmes L’interface JSON-RPC, qui permet aux sites Web visités par un utilisateur lancer des téléchargements et contrôler d’autres fonctions clés. Ormandy des exploits ont montré comment des sites malveillants pouvaient abuser de l’interface exécuter du code malveillant sur des ordinateurs vulnérables.

Les attaques dans la nature ciblant rTorrent exploitent XML-RPC, une interface rTorrent qui utilise HTTP et le plus puissant XML pour recevoir les entrées des ordinateurs distants. rTorrent ne nécessite une authentification pour que XML-RPC fonctionne. Pire encore, le l’interface peut exécuter des commandes shell directement sur le système d’exploitation rTorrent fonctionne sur.

Lectures complémentaires

Les criminels de crypto-monnaie-extraction qui ont rapporté 3 millions de dollars se préparent pour moreAttackers scanne Internet pour trouver des ordinateurs qui sont exécuter des applications rTorrent compatibles RPC, puis les exploiter pour installer un logiciel qui exploite la pièce numérique connue sous le nom de Monero, Les chercheurs de la société de sécurité F5 basée à Seattle ont déclaré dans un blog poster. Au moment où ce poste était en ligne, les portefeuilles de l’attaquant avait un solde combiné de 3 900 $. Au rythme actuel, les les assaillants génèrent environ 43 dollars par jour. C’est une somme modeste par rapport à un des chercheurs du groupe crypto-monnaie-exploitation minière dit netté des pièces d’une valeur de 3,4 millions de dollars.

Aucune interaction utilisateur requise

Le scénario d’attaque contre rTorrent est plus grave que pour uTorrent et Transmission parce que les attaquants peuvent exploiter vulnérable Des applications rTorrent sans interaction requise de l’utilisateur. le Les défauts d’uTorrent et de Transmission pourraient au contraire être exploités uniquement par les sites qu’un utilisateur a activement visités. Les exploits d’Ormandy utilisaient un technique connue sous le nom de système de nom de domaine résolution du domaine Internet non approuvé à l’adresse IP locale du ordinateur exécutant une application BitTorrent vulnérable.

F5 a pris soin de noter que le développeur de rTorrent “recommande explicitement de ne pas utiliser la fonctionnalité RPC sur TCP sockets. “Cela indiquerait que l’interface XML-RPC vulnérable n’est pas activé par défaut. De nombreux utilisateurs de BitTorrent trouvent cette interfaces utiles et supposent qu’elles ne peuvent être contrôlées que par quelqu’un avec un accès physique à l’ordinateur qui l’exécute. La susceptibilité rediriger DNS ou d’autres hacks invalide la supposition, � moins lorsque l’interface manque d’authentification par mot de passe ou autre mesures de sécurité en profondeur, soit parce qu’ils ne sont pas fournis par le développeur ou ils ne sont pas activés par les utilisateurs finaux.

Le malware que l’exploitation télécharge ne se limite pas à compute- et logiciel d’exploitation minière drainant l’électricité. Il scanne également infecté ordinateurs pour les mineurs rivaux et, s’ils le trouvent, tente de les enlever. À l’heure actuelle, le malware téléchargé n’est détecté que par trois des les 59 principaux fournisseurs d’antivirus. Ce nombre est susceptible de changer bientôt.

Dans un courriel envoyé après la publication de ce message, le développeur rTorrent Jari Sundell a écrit:

Il n’y a pas de correctif car la vulnérabilité est due à un manque de connaissance de ce qui est exposé lors de l’activation de la fonctionnalité RPC, plutôt qu’une faille réparable dans le code. Il a toujours été supposé, de mon point de vue, que l’utilisateur veillerait à ce qu’ils soient correctement traités Restriction d’accès.

Aucun comportement par défaut pour rpc n’est activé par rtorrent, et en utilisant Les sockets unix pour RPC sont ce que je recommande.

L’échec dans ce cas est peut-être que j’ai créé un morceau de logiciel très flexible, mais pas assez documenté pour que les utilisateurs réguliers comprennent tous les pièges.

Les personnes qui exécutent rTorrent doivent inspecter soigneusement leurs ordinateurs signes d’infection, qui incluent probablement des quantités excessives de de la bande passante et de la puissance de calcul consommée. Les utilisateurs rTorrent devraient assurez-vous également qu’ils suivent les conseils de Sundell. Gens qui courent les autres applications BitTorrent doivent également rester méfiantes de l’interface RPC et éteignez-les chaque fois que possible.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: