Microsoft met en garde contre une nouvelle variante du botnet srv qui exploite plusieurs failles de sécurité dans les applications Web et les bases de données pour installer des mineurs de pièces sur les systèmes Windows et Linux.
Le géant de la technologie, qui a appelé la nouvelle version Sysrv-Kest censé militariser un panoplie d’exploits pour prendre le contrôle des serveurs Web. Le botnet de cryptojacking est apparu pour la première fois en décembre 2020.
« Sysrv-K scanne Internet pour trouver des serveurs Web avec diverses vulnérabilités à installer lui-même », a déclaré la société. mentionné dans une série de tweets. « Les vulnérabilités vont de la traversée de chemin et de la divulgation de fichiers à distance au téléchargement de fichiers arbitraires et aux vulnérabilités d’exécution de code à distance. »
Cela comprend également CVE-2022-22947 (score CVSS : 10,0), une vulnérabilité d’injection de code dans Spring Cloud Gateway qui pourrait être exploitée pour permettre une exécution à distance arbitraire sur un hôte distant via une requête conçue de manière malveillante.
Il convient de noter que l’abus de CVE-2022-22947 a incité l’agence américaine de cybersécurité et de sécurité des infrastructures à ajouter la faille à son catalogue de vulnérabilités exploitées connues.
Un différenciateur clé est que Sysrv-K recherche les fichiers de configuration WordPress et leurs sauvegardes pour récupérer les informations d’identification de la base de données, qui sont ensuite utilisées pour pirater les serveurs Web. On dit également qu’il a amélioré ses fonctions de communication de commande et de contrôle pour utiliser un Telegram Bot.
Une fois infecté, le mouvement latéral est facilité par Clés SSH disponible sur la machine victime pour déployer des copies du logiciel malveillant sur d’autres systèmes et augmenter la taille du botnet, mettant ainsi l’ensemble du réseau en danger.
« Le malware Sysrv tire parti des vulnérabilités connues pour propager son malware Cryptojacking », ont déclaré des chercheurs de Lacework Labs. c’est noté l’année dernière. « Il est essentiel de s’assurer que les applications destinées au public sont tenues à jour avec les derniers correctifs de sécurité pour éviter que des adversaires opportunistes ne compromettent les systèmes. »
Outre la sécurisation des serveurs exposés à Internet, Microsoft conseille également aux organisations d’appliquer les mises à jour de sécurité en temps opportun et de renforcer l’hygiène des informations d’identification pour réduire les risques.