Уязвимость в PHP используют для майнинга биткоинов

Хакеры добывают биткоины, атакуя сервера по всему миру с помощью давно открытой критичной уязвимости PHP в режиме CGI (CVE-2012-1823), сообщает «Лаборатория Касперского».

Эта уязвимость была найдена в процессе конкурса Nullcon CTF еще в январе 2012 года и, по мнению многих профессионалов, стала чуть ли не самым потрясающим багом в истории PHP. Брешь в системе безопасности позволяет атакующему выполнить случайный код, используя только адресную строчку браузера, на любом сервере, где PHP работает в режиме CGI.

В течение первых нескольких дней после того, как в Интернет проникли сведения об уязвимости, вышло более 200 тыс. атак на более чем 150 тыс. доменов, размещенных на серверах только только 1-го хостера — DreamHost, который и поделился информацией об активности хакеров. Основной целью злоумышленников было создание бэкдора. PHP Group отреагировала обновлением версии PHP, которое должно было закрывать уязвимость, но оно содержало баг, позволявший просто обойти изготовленный патч.

Сейчас же специалисты узнали, что этот давнешний баг стал вновь употребляться в больших масштабах для организации ботнетов. Зараженные сервера удаленно контролируются киберпреступниками, первичная задача которых — майнинг биткоинов, но при помощи бот-сети могут проводиться и DDoS-атаки.

После того как хакеры ищут уязвимый сервер, они стремятся установить на него как 64-разрядную, так и 32-разрядную версию вредной программы BoSSaBoTv2, которая доступна на подпольных хакерских форумах по стоимости $25 при условии, что за обновления придется платить раздельно, или $125 с бессрочным обновлением. Как отмечают специалисты, торговля вредным ПО идет очень интенсивно.