Exploitation de la faille de sécurité dans XWiki
Selon un rapport récent, des hackers exploitent une faille de sécurité dans XWiki, une plateforme web de création de contenu, pour exécuter des programmes sur des ordinateurs qu’ils ne possèdent pas. Le bug dans le système de templates de XWiki a permis à des acteurs malveillants de miner la cryptomonnaie Monero (XMR) sans autorisation.
Le processus d’attaque
Les hackers envoient une requête qui télécharge un petit programme (x640) sur l’ordinateur d’une victime. Par la suite, une autre requête exécute ce programme, qui télécharge deux autres scripts (x521 et x522) installant un mineur de Monero (tcrond) et le faisant fonctionner tout en arrêtant toute autre exploitation sur la machine infectée.
Les tokens Monero minés avec l’ordinateur piraté sont ensuite envoyés via c3pool.org.
Autres failles de sécurité
Le rapport de Hacker News, qui cite des données de la CISA, mentionne également des failles de sécurité dans DELMIA Apriso, permettant aux hackers d’exécuter du code à distance de manière similaire.
Conseils de sécurité
Les personnes qui ont potentiellement été victimes de cryptojacking, la pratique de miner illégalement des cryptomonnaies en utilisant la machine de quelqu’un d’autre, devraient :
- Bloquer les adresses IP suspectes
- Surveiller leur réseau pour des connexions à c3pool.org
- Supprimer les fichiers associés au mineur s’ils sont trouvés sur l’ordinateur concerné.
