ກຸ່ມ Hacker ສ້າງລາຍໄດ້ 3 ລ້ານ USD ໂດຍການຕິດຕັ້ງ Monero Miners ຢູ່ Server Jenkins
ນັກວິໃຈຈາກ Check Point ໄດ້ພົບການໃຊ້ຊ່ອງໂຫວ່ຂອງ Jenkins
( Open Source Server Automation ທີ່ຖືກຂຽນໃນພາສາ Java ເຊິງນິຍົມໃຊ້ໃນຂະບວນການພັດທະນາ Software ເພື່ອທົດສອບໂຄ້ດໃຫມ່ໆ ກ່ອນນໍາຂຶ້ນລະບົບແທ້) ເຊິງເປັນທີ່ນິຍົມໃນຫມູ່ນັກພັດທະນາເວັບ ຫລື ໃນລະດັບອົງກອນ, ເພື່ອການຕິດຕັ້ງໂຕຂຸດເຫມືອງ Monero ເທິງ Server ເຫລົ່ານັ້ນ ແລະ Hacker ສາມາດເຮັດການຂຸດຫຼຽນໄປກວ່າ 10,800 ຫຼຽນ ຫລື ຄິດເປັນເງິນປະມານ $3.4 ລ້ານ USD
Hacker ໄດ້ໃຊ້ຊ່ອງໂຫວ່ຄວາມສ່ຽງໂຕເລກ CVE-2017-1000353 ທີ່ເກີດບັນຫາກັບ Jenkins ເຮັດໃຫ້ Hacker ສາມາດດໍາເນີນການລະຫັດທີ່ເປັນອັນຕະລາຍໂດຍບໍ່ມີການກວດສອບເພື່ອດາວໂຫລດ ແລະ ຕິດຕັ້ງ Monster Miner (minerxmr.exe) ໄດ້, ໂດຍທາງ Check Point ໄດ້ເຫັນວ່າ IP ທີ່ພົບເຫັນມາຈາກຈີນ ແລະ ຍັງຖືກລະບຸວ່າເປັນສ່ວນໜື່ງຂອງເຄື່ອຂ່າຍລັດຖະບານໃນ Huaian ອີກ, ແຕ່ວ່າມັນບໍ່ຈະແຈ້ງວ່າມັນເປັນ Server ຂອງ Hacker ຫຼື Server ທີ່ຖືກແຊກແຊງເພື່ອວາງໂຕຂຸດເຫມືອງໄວ້, ນອກຈາກນີ້ນັກຄົ້ນຄວ້າຍັງໄດ້ລາຍງານວ່າລະບົບປະຕິບັດການສ່ວນຫຼາຍຂອງ Jenkins ແມ່ນ Windows
ຢ່າງໃດກໍຕາມ ການຄົ້ນຄ້ວາໄດ້ດໍາເນີນໃນກາງເດືອນມັງກອນ. ນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພທີ່ມີຊື່ວ່າ Mikail Tunc ລາຍງານວ່າມີ Server ຂອງ Jenkins ທີ່ມີຄວາມສ່ຽງ ແລະ ອອນໄລ໌ຢູ່ຫລາຍກວ່າ 25.000 ເຄື່ອງ.
ທີ່ມາຂອງຂ່າວ: https://www.bleepingcomputer.com
Comments are closed