JDWP port kihasználása
A Wiz.io kutatócsoportja rutinszerű monitorozás közben egy feltűnő esetet észlelt, egy publikus Java Debug Wire Protocol (JDWP) interfészű TeamCity szerveren a támadók távoli kódfuttatással (RCE) egy kriptobányász malware-t telepítettek. A sebezhető kiszolgáló mindössze néhány óra alatt kompromittálódott.
A JDWP eredetileg hibakeresésre készült, de alapértelmezésben nem tartalmaz hitelesítést, így ha a Java alkalmazást a debug mód engedélyezésével indítják, bárki kapcsolódhat és teljes kódfuttatást végezhet a futó alkalmazásban. A Wiz példája is ezt tükrözte, a támadó többek között mélyen rejtett futású, hardcoded beállítású XMRig-et indított – úgy, hogy gyakorlatilag semmilyen klasszikus gyanús parancssor nem jelentkezett, így elkerülték a védelmi rendszerek figyelmét.
A támadás során olyan kriptobányász kód futott, amit proxykon keresztül csatlakoztattak, ezáltal elrejtették a célzott wallet címet a vizsgálat elől. Ez a módszer nem csak pénzt termel, de nyom nélkül marad, ha nem megfelelően monitorozzák a szervert.
A Wiz szerint nem csak konkrét esetekkel találkoznak, az elmúlt 90 napban több mint 6000 különböző IP-cím kérdezte le a JDWP portokat, ami azt bizonyítja, hogy ez a protokoll aktív célpont.
