Εκτεθειμένες διεπαφές JDWP οδηγούν σε εξόρυξη crypto και DDoS
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Εκτεθειμένες διεπαφές JDWP οδηγούν σε εξόρυξη crypto και DDoS
https://www.secnews.gr/653092/ektetheimenes-deipafes-jdwp-odigoun-eksoriksi-crypto-ddos/
Jul 7th 2025, 11:31
by Absenta Mia
Κακόβουλοι παράγοντες εκμεταλλεύονται εκτεθειμένες διεπαφές του Java Debug Wire Protocol (JDWP) προκειμένου να αποκτήσουν δυνατότητες εκτέλεσης κώδικα και να εγκαταστήσουν προγράμματα εξόρυξης crypto σε παραβιασμένα συστήματα. Η εταιρεία ασφάλειας cloud, η οποία βρίσκεται υπό εξαγορά από τη Google Cloud, ανέφερε ότι παρατήρησε αυτή τη δραστηριότητα σε honeypot servers που έτρεχαν TeamCity, ένα δημοφιλές εργαλείο συνεχούς ενσωμάτωσης και συνεχούς παράδοσης (CI/CD).
Δείτε επίσης: 2025 hacks: Οι απώλειες crypto έχουν ξεπεράσει ήδη τις απώλειες του 2024
Το JDWP είναι ένα πρωτόκολλο επικοινωνίας που χρησιμοποιείται στη Java για σκοπούς αποσφαλμάτωσης. Μέσω του JDWP, ένας αποσφαλματωτής μπορεί να λειτουργεί σε ξεχωριστή διεργασία από την Java εφαρμογή, είτε στον ίδιο υπολογιστή είτε απομακρυσμένα.
Ωστόσο, επειδή το JDWP δεν διαθέτει μηχανισμούς ταυτοποίησης ή ελέγχου πρόσβασης, η έκθεσή του στο διαδίκτυο μπορεί να αποτελέσει νέο σημείο εισόδου για επιθέσεις, επιτρέποντας στους εισβολείς να αποκτήσουν πλήρη έλεγχο της εκτελούμενης Java διεργασίας.
Με απλά λόγια, αυτή η κακή ρύθμιση μπορεί να χρησιμοποιηθεί για την έγχυση και εκτέλεση αυθαίρετων εντολών, με στόχο τη διατήρηση πρόσβασης και τελικά την εκτέλεση κακόβουλων φορτίων.
Ορισμένες από τις εφαρμογές που ενδέχεται να ενεργοποιήσουν έναν διακομιστή JDWP όταν βρίσκονται σε λειτουργία αποσφαλμάτωσης περιλαμβάνουν τα TeamCity, Jenkins, Selenium Grid, Elasticsearch, Quarkus, Spring Boot και Apache Tomcat.
Δείτε ακόμα: Χάκερ κλέβουν crypto μέσω λανθασμένα διαμορφωμένων API Docker
Σύμφωνα με δεδομένα της GreyNoise, περισσότερες από 2.600 διευθύνσεις IP έχουν πραγματοποιήσει σάρωση για JDWP endpoints το τελευταίο 24ωρο, εκ των οποίων πάνω από 1.500 έχουν χαρακτηριστεί ως κακόβουλες και περίπου 1.100 ως ύποπτες. Η μεγάλη πλειοψηφία αυτών των διευθύνσεων IP προέρχεται από την Κίνα, τις Ηνωμένες Πολιτείες, τη Γερμανία, τη Σιγκαπούρη και το Χονγκ Κονγκ.
Εκτεθειμένες διεπαφές JDWP οδηγούν σε εξόρυξη crypto και DDoS
Στις επιθέσεις που παρατήρησε η Wiz, οι κακόβουλοι φορείς εκμεταλλεύονται το γεγονός ότι η Εικονική Μηχανή Java (JVM) ακούει για συνδέσεις αποσφαλματωτή στη θύρα 5005, προκειμένου να ξεκινήσουν σαρώσεις για ανοικτές JDWP θύρες στο διαδίκτυο. Στο επόμενο στάδιο, αποστέλλεται ένα αίτημα JDWP-Handshake για να επιβεβαιωθεί αν η διεπαφή είναι ενεργή και να καθιερωθεί συνεδρία JDWP.
Αφού επιβεβαιωθεί ότι η υπηρεσία είναι εκτεθειμένη και διαδραστική, οι επιτιθέμενοι προχωρούν στην εκτέλεση μιας εντολής curl για να κατεβάσουν και να εκτελέσουν ένα dropper shell script, το οποίο πραγματοποιεί μια σειρά από ενέργειες:
• Τερματίζει άλλους miners ή διεργασίες με υψηλή χρήση CPU
• Κατεβάζει από εξωτερικό διακομιστή ("awarmcorner[.]world") και εγκαθιστά μια τροποποιημένη έκδοση του XMRig miner, συμβατή με την αρχιτεκτονική του συστήματος, στον φάκελο ~/.config/logrotate
• Εγκαθιστά μηχανισμούς επιμονής μέσω cron jobs, ώστε το κακόβουλο φορτίο να επανεκτελείται μετά από κάθε σύνδεση σε shell, επανεκκίνηση του συστήματος ή σε τακτά χρονικά διαστήματα
• Διαγράφει το ίδιο το script μετά την ολοκλήρωση της εκτέλεσής του
Δείτε επίσης: CoinMarketCap hacked: Κλοπή crypto των επισκεπτών του site
Η απουσία ελέγχου πρόσβασης στο JDWP και άλλες debugging διεπαφές αναδεικνύει τη σημασία της ασφάλειας στη διαμόρφωση (security through configuration), ένα βασικό στοιχείο της κυβερνοασφάλειας. Πολλές επιθέσεις δεν εκμεταλλεύονται "κενά" στον κώδικα, αλλά λανθασμένες ή παραμελημένες ρυθμίσεις.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Εκτεθειμένες διεπαφές JDWP οδηγούν σε εξόρυξη crypto και DDoS
https://www.secnews.gr/653092/ektetheimenes-deipafes-jdwp-odigoun-eksoriksi-crypto-ddos/
Jul 7th 2025, 11:31
by Absenta Mia
Κακόβουλοι παράγοντες εκμεταλλεύονται εκτεθειμένες διεπαφές του Java Debug Wire Protocol (JDWP) προκειμένου να αποκτήσουν δυνατότητες εκτέλεσης κώδικα και να εγκαταστήσουν προγράμματα εξόρυξης crypto σε παραβιασμένα συστήματα. Η εταιρεία ασφάλειας cloud, η οποία βρίσκεται υπό εξαγορά από τη Google Cloud, ανέφερε ότι παρατήρησε αυτή τη δραστηριότητα σε honeypot servers που έτρεχαν TeamCity, ένα δημοφιλές εργαλείο συνεχούς ενσωμάτωσης και συνεχούς παράδοσης (CI/CD).
Δείτε επίσης: 2025 hacks: Οι απώλειες crypto έχουν ξεπεράσει ήδη τις απώλειες του 2024
Το JDWP είναι ένα πρωτόκολλο επικοινωνίας που χρησιμοποιείται στη Java για σκοπούς αποσφαλμάτωσης. Μέσω του JDWP, ένας αποσφαλματωτής μπορεί να λειτουργεί σε ξεχωριστή διεργασία από την Java εφαρμογή, είτε στον ίδιο υπολογιστή είτε απομακρυσμένα.
Ωστόσο, επειδή το JDWP δεν διαθέτει μηχανισμούς ταυτοποίησης ή ελέγχου πρόσβασης, η έκθεσή του στο διαδίκτυο μπορεί να αποτελέσει νέο σημείο εισόδου για επιθέσεις, επιτρέποντας στους εισβολείς να αποκτήσουν πλήρη έλεγχο της εκτελούμενης Java διεργασίας.
Με απλά λόγια, αυτή η κακή ρύθμιση μπορεί να χρησιμοποιηθεί για την έγχυση και εκτέλεση αυθαίρετων εντολών, με στόχο τη διατήρηση πρόσβασης και τελικά την εκτέλεση κακόβουλων φορτίων.
Ορισμένες από τις εφαρμογές που ενδέχεται να ενεργοποιήσουν έναν διακομιστή JDWP όταν βρίσκονται σε λειτουργία αποσφαλμάτωσης περιλαμβάνουν τα TeamCity, Jenkins, Selenium Grid, Elasticsearch, Quarkus, Spring Boot και Apache Tomcat.
Δείτε ακόμα: Χάκερ κλέβουν crypto μέσω λανθασμένα διαμορφωμένων API Docker
Σύμφωνα με δεδομένα της GreyNoise, περισσότερες από 2.600 διευθύνσεις IP έχουν πραγματοποιήσει σάρωση για JDWP endpoints το τελευταίο 24ωρο, εκ των οποίων πάνω από 1.500 έχουν χαρακτηριστεί ως κακόβουλες και περίπου 1.100 ως ύποπτες. Η μεγάλη πλειοψηφία αυτών των διευθύνσεων IP προέρχεται από την Κίνα, τις Ηνωμένες Πολιτείες, τη Γερμανία, τη Σιγκαπούρη και το Χονγκ Κονγκ.
Εκτεθειμένες διεπαφές JDWP οδηγούν σε εξόρυξη crypto και DDoS
Στις επιθέσεις που παρατήρησε η Wiz, οι κακόβουλοι φορείς εκμεταλλεύονται το γεγονός ότι η Εικονική Μηχανή Java (JVM) ακούει για συνδέσεις αποσφαλματωτή στη θύρα 5005, προκειμένου να ξεκινήσουν σαρώσεις για ανοικτές JDWP θύρες στο διαδίκτυο. Στο επόμενο στάδιο, αποστέλλεται ένα αίτημα JDWP-Handshake για να επιβεβαιωθεί αν η διεπαφή είναι ενεργή και να καθιερωθεί συνεδρία JDWP.
Αφού επιβεβαιωθεί ότι η υπηρεσία είναι εκτεθειμένη και διαδραστική, οι επιτιθέμενοι προχωρούν στην εκτέλεση μιας εντολής curl για να κατεβάσουν και να εκτελέσουν ένα dropper shell script, το οποίο πραγματοποιεί μια σειρά από ενέργειες:
• Τερματίζει άλλους miners ή διεργασίες με υψηλή χρήση CPU
• Κατεβάζει από εξωτερικό διακομιστή ("awarmcorner[.]world") και εγκαθιστά μια τροποποιημένη έκδοση του XMRig miner, συμβατή με την αρχιτεκτονική του συστήματος, στον φάκελο ~/.config/logrotate
• Εγκαθιστά μηχανισμούς επιμονής μέσω cron jobs, ώστε το κακόβουλο φορτίο να επανεκτελείται μετά από κάθε σύνδεση σε shell, επανεκκίνηση του συστήματος ή σε τακτά χρονικά διαστήματα
• Διαγράφει το ίδιο το script μετά την ολοκλήρωση της εκτέλεσής του
Δείτε επίσης: CoinMarketCap hacked: Κλοπή crypto των επισκεπτών του site
Η απουσία ελέγχου πρόσβασης στο JDWP και άλλες debugging διεπαφές αναδεικνύει τη σημασία της ασφάλειας στη διαμόρφωση (security through configuration), ένα βασικό στοιχείο της κυβερνοασφάλειας. Πολλές επιθέσεις δεν εκμεταλλεύονται "κενά" στον κώδικα, αλλά λανθασμένες ή παραμελημένες ρυθμίσεις.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz