Hackers hebben meer dan 1.400 kwetsbare Apache Solr servers gebruikt om cryptovaluta te minen. Dit lijkt bijzonder veel op de aanval in januari waarbij een aanval werd gepleegd op de servers van Oracle WebLogic. Hoeveel er dit keer is verdiend door de cybercriminelen is volgens een bericht op ZDNet nog niet bekend.
Volgens Renato Marinho, de hoofdonderzoeker bij Morphus Labs, gebruiken de aanvallers van Apache Solr de externe code met de tags CVE-2017-12629. De Apache Software Foundation heeft in oktober al een manier om deze fout te repareren vrijgegeven.
Solr is een veelgebruikt Apache-programma voor het bouwen van zoekfunctionaliteit in websites. Deze aanval zou volgens Marinho gepleegd zijn door dezelfde groep als die begin dit jaar verantwoordelijk was voor de aanval op Oracle WebLogic. Bij de aanval op de Oracle WebLogic- servers werd 611 Monero (een bitcoin- alternatief) bemachtigd, iets dat destijds neerkwam op ongeveer 226.000 dollar (185.000 euro). Toen konden ongeautoriseerde aanvallers op afstand commando’s uitvoeren door gebruik te maken van de bevoegdheden van een WebLogic server-gebruiker.
“Nu de meeste Oracle WebLogic-servers zijn gerepareerd, moet er een ander doelwit gekozen worden,†schreef Marinho op het SANS Internet Storm Center-forum. “Binnen negen dagen, van 28 februari tot en met 8 maart, maakte deze ene aanval misbruik van 1.416 kwetsbare Apache Solr-servers om Monero XMRig-miners over de hele wereld neer te zetten.â€
Het is niet bekend hoeveel Monero de aanvallers buit hebben weten te maken van de gecompromitteerde Solr-servers omdat ze bij de aanval gebruik maakten van een proxy om toegang te krijgen tot de Monero miner-pools. Hierdoor kunnen ze de adressen van hun Monero-portefeuille verborgen houden.
Het misbruiken van andermans apparaten om cryptovaluta te maken komt vaker voor. Servers vormen daarbij in tegenstelling tot de gewone pc’s een zeer aantrekkelijk doelwit voor cryptomining omdat de cybercriminelen zo meer kans hebben te draaien op krachtige CPU’s.