Le support Sophos a récemment été confronté à ce type de cas, lorsqu’il a été invité à investiguer sur le mystère d’un serveur Internet Web Apache Tomcat qui ne parvenait pas à se débarrasser d’un cryptomineur Monero appelé XMrig.
Grâce à son statut open source, XMrig est récemment devenu populaire et se trouve être, par la même occasion, pas si difficile à repérer au moyen d’une détection d’intrusion et d’alertes de détection de type “command & control“.
Néanmoins, alors que la réinstallation automatique de ce type de malware était déjà présente dans les honeypots des SophosLabs, elle n’avait jamais été observée sur le terrain.
Le système d’exploitation et les applications du serveur étaient entièrement à jour, signifiant ainsi que les attaquants exploitaient soit une faille logicielle inconnue, soit avaient trouvé une autre faiblesse plus ciblée.
L’analyse des paquets réseau a permis au support de décortiquer les différentes étapes de l’attaque et d’en identifier le point de départ qui s’est avéré être une attaque par force brute réussie ayant été lancée sur le panneau admin Internet de Tomcat.
Armé d’un accès de type administrateur, l’attaquant a été aidé par le fait que le serveur était configuré pour autoriser l’uploading des fichiers exécutables à l’aide du format Web Application Resource (.war), utilisé pour transférer un fichier admin.jsp illicite.
Cela a permis l’exécution de trois commandes à l’aide de requêtes HTTP POST : SI
(qui renvoie des informations système), UF
(qui permet la création de fichier sur le serveur) et SH
(qui permet l’exécution de commande).
La commande SH
a été utilisée pour exécuter le code qui est entré en contact par la suite avec un serveur distant. Celui-ci a répondu en proposant le cryptomineur XMrig ainsi que certains PowerShell qui ont tenté de tuer trois processus au sein du serveur qui n’étaient pas vraiment en cours d’exécution.
Une cible facile
Apparemment, la vulnérabilité flagrante était que le panneau admin du serveur compromis utilisait un mot de passe faible, par défaut ou bien facile à deviner, et qui a permis aux attaquants de mettre un pied dans le système et de le compromettre. Plus précisément :
La phase initiale de l’attaque a été marquée par une tentative de ‘credential stuffing’ par force brute au niveau du panneau admin de Tomcat. Une fois les attaquants connectés en tant qu’administrateur, alors tous était permis !
Il est évident que lorsqu’une attaque a lieu de nouveau, et ce assez rapidement, la sécurité des identifiants du serveur doit faire l’objet de toute votre attention. Changer ces derniers est donc une précaution qui ne coûte rien !
Mais un deuxième gros problème a été repéré, à savoir que le panneau admin était accessible depuis Internet. Une telle possibilité a donné tout le temps aux pirates dans le monde entier pour lancer une attaque par force brute contre les mots de passe et une occasion de les ignorer complètement si une vulnérabilité était découverte dans le code administrateur de Tomcat.
La combinaison de ces deux problèmes sur un serveur, au niveau duquel les administrateurs peuvent uploader des exécutables et des fichiers, fait de ce dernier une cible qui pose un véritable souci. Cette attaque aurait pu être bien pire qu’une simple session gênante de cryptominage.
Une simple évaluation des risques nous l’a confirmé. Si la porte d’entrée est suffisamment visible pour devenir une cible potentielle, combien de données sensibles se trouve cachée derrière celle-ci ? Dans le cas de ce serveur, beaucoup trop !
Idéalement, l’accès administrateur devrait être limité aux adresses IP internes. Lorsque cela n’est pas possible, l’utilisation d’une authentification multifactorielle, telle que les certificats numériques clients, devrait constituer un minimum et non un luxe.
Pour en savoir plus sur cette attaque et accéder aux détails techniques, n’hésitez pas à consulter l’article des SophosLabs Uncut : Worms deliver cryptomining malware to web servers.
Billet inspiré de The cryptominer that kept coming back, sur Sophos nakedsecurity.