Проблему в rTorrent используют для установки майнеров на Unix-системы - «Новости»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Новости мира Интернет » Новости » Проблему в rTorrent используют для установки майнеров на Unix-системы - «Новости»

ИБ-специалисты компании F5 сообщают, что проблема в популярном опенсорсном клиенте rTorrent использовалась для установки скрытых майнеров на Unix-системы.


Совсем недавно эксперт Google Project Zero Тевис Орманди (Tavis Ormandy) рассказал о проблемах в торрент-приложениях uTorrent и Transmission. В обоих случаях специалист использовал для атак на приложения баги в интерфейсе JSON-RPC, которые позволяли владельцам вредоносных сайтов обращаться к уязвимому торрент-клиенту посетителя и инициировать загрузку. После этого злоумышленники могли просматривать список закачек пользователя, заразить его малварью и так далее.


Атаки, обнаруженные специалистами F5, очень похожи на proof-of-concept эксплоиты, предложенные Орманди. Дело в том, что атакованы были пользователи популярного консольного торрент-клиента rTorrent, использующие XML-RPC, так как XML-RPC не требует никакой аутентификации для своей работы. Хуже того, исследователи обнаружили, что клиент мог выполнять shell-команды напрямую на целевой системе.





По словам специалистов, атакующие сканируют интернет в поисках уязвимых машин с установленным rTorrent, а затем используют проблему в клиенте для установки скрытых майнеров криптовалюты Monero. Как и в случае с uTorrent и Transmission, никакого взаимодействия с пользователем для заражения не требуется. Сама малварь хостится в Tor и для доступа к ней используются Tor2Web ресурсы. Кроме того, вредонос ищет на целевой системе конкурирующее майнинговое ПО, а если такое обнаруживается, пытается его удалить.


Исследователи F5 пишут, что в настоящее время группировка, стоящая за этой вредоносной кампанией, «зарабатывает» порядка 43 долларов в день. Суммарно установка скрытых майнеров уже принесла злоумышленниками более 3900 долларов.





Патча для данной проблемы пока нет, так как разработчики rTorrent сообщили журналистам ArsTechnica, что они не вполне понимают, какие именно проблемы провоцирует включение RPC. Авторы клиента полагают, что речь идет о неправильных настройках клиента, так как пользователи не ограничивают доступ должным образом.


Теперь разработчики rTorrent и эксперты F5 рекомендуют пользователям не применять XML-RPC вообще, или отказаться от использования функциональности RPC через TCP сокеты (сокеты лучше призывать к локальному хосту).


Источник новостиgoogle.com

ИБ-специалисты компании F5 сообщают, что проблема в популярном опенсорсном клиенте rTorrent использовалась для установки скрытых майнеров на Unix-системы. Совсем недавно эксперт Google Project Zero Тевис Орманди (Tavis Ormandy) рассказал о проблемах в торрент-приложениях uTorrent и Transmission. В обоих случаях специалист использовал для атак на приложения баги в интерфейсе JSON-RPC, которые позволяли владельцам вредоносных сайтов обращаться к уязвимому торрент-клиенту посетителя и инициировать загрузку. После этого злоумышленники могли просматривать список закачек пользователя, заразить его малварью и так далее. Атаки, обнаруженные специалистами F5, очень похожи на proof-of-concept эксплоиты, предложенные Орманди. Дело в том, что атакованы были пользователи популярного консольного торрент-клиента rTorrent, использующие XML-RPC, так как XML-RPC не требует никакой аутентификации для своей работы. Хуже того, исследователи обнаружили, что клиент мог выполнять shell-команды напрямую на целевой системе. По словам специалистов, атакующие сканируют интернет в поисках уязвимых машин с установленным rTorrent, а затем используют проблему в клиенте для установки скрытых майнеров криптовалюты Monero. Как и в случае с uTorrent и Transmission, никакого взаимодействия с пользователем для заражения не требуется. Сама малварь хостится в Tor и для доступа к ней используются Tor2Web ресурсы. Кроме того, вредонос ищет на целевой системе конкурирующее майнинговое ПО, а если такое обнаруживается, пытается его удалить. Исследователи F5 пишут, что в настоящее время группировка, стоящая за этой вредоносной кампанией, «зарабатывает» порядка 43 долларов в день. Суммарно установка скрытых майнеров уже принесла злоумышленниками более 3900 долларов. Патча для данной проблемы пока нет, так как разработчики rTorrent сообщили журналистам ArsTechnica, что они не вполне понимают, какие именно проблемы провоцирует включение RPC. Авторы клиента полагают, что речь идет о неправильных настройках клиента, так как пользователи не ограничивают доступ должным образом. Теперь разработчики rTorrent и эксперты F5 рекомендуют пользователям не применять XML-RPC вообще, или отказаться от использования функциональности RPC через TCP сокеты (сокеты лучше призывать к локальному хосту). Источник новости - google.com

Смотрите также

А что там на главной? )))



Комментарии )))