黑客攻击Jenkins漏洞(CVE-2018-1000861)传播Kerberods挖矿软件

xiannv  2057天前

不法分子正在利用2018年披露的Jenkins漏洞(CVE-2018-1000861)来使用Kerberods提供加密货币挖矿软件进行挖矿活动。

SANS专家Renato Marinho发现了一个正在针对Apache Jenkins安装的恶意攻击活动,以传播一个名为Kerberods的门罗币挖矿恶意软件。

根据SANS研究所的互联网风暴中心称,攻击者正在利用Jenkins服务器使用的Stapler HTTP请求处理引擎中存在的CVE-2018-1000861漏洞

Jenkins是最受欢迎的开源自动化服务器,它由CloudBees和Jenkins社区维护。自动化服务器支持开发人员构建,测试和部署他们的应用程序,它在全球拥有数十万个活跃安装,拥有超过100万用户。

Jenkins开发团队在2018年12月解决了这个漏洞,该团队发出以下潜在威胁发出了警告:

  • 使用内置的Winstone-Jetty服务器运行Jenkins时,未经身份验证的用户可以使所有会话无效。
  • 具有“全部/读取”权限的用户可以在内存中创建新的用户对象。
  • 具有“全部/读取”访问权限的用户可以非定期执行期间手动启动AsyncPeriodicWork。

安全研究人员公开披露了该漏洞的技术细节该漏洞可以与发布的其他链接中的漏洞结合,以获取远程代码执行。

根据SANS的Renato Marinho的说法,CVE-2018-1000861的漏洞验证程序(PoC)于3月初发布。

Marinho注意到他的一个蜜罐受到了一些攻击,试图利用Jenkins的这个漏洞来传递Kerberods挖矿软件。

“在分析了我的一个蜜罐受到的攻击之后,我创建了下图所示的图表。按照蓝色数字理解步骤。“

Jenkins-vulnerability-attack.png

Jenkins漏洞攻击

Kerberods恶意软件包含自定义版本的UPX打包程序,它尝试获取root权限来隐藏它的存在并获得持久性。

“在分析二进制文件后,我发现使用的打包器是‘UPX’的定制版本。UPX是一个开源软件,有许多方法可以修改UPX,使其难以使用常规的UPX版本解压文件。“继续分析。“幸运的是,在这种情况下,UPX自定义只涉及将maigc常量UPX_MAGIC_LE32从‘UPX’修改为其他三个字母。因此,在二进制文件的不同部分将其还原为UPX,可以使用常规版本的UPX解压缩二进制文件。

获得root权限后,Kerberods会将一个库加载到操作系统中,该操作系统将连接Glibc的不同功能,就像一个rootkit。

在没有root权限的情况下,恶意软件创建了一个cron定时任务以确保持久性。

Kerberods在受感染的系统上下载并执行Monero加密货币挖矿软件,它还使用本地SSH密钥进行横向移动。该恶意软件还会在互联网上搜索其他易受攻击的Jenkins服务器。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/85215/malware/jenkins-vulnerability-attacks-kerberods.html

最新评论

昵称
邮箱
提交评论