Киберпреступники добывают биткоины, атакуя сервера по всему миру при помощи давно открытой критической уязвимости PHP в режиме CGI (CVE-2012-1823), сообщает Security Affairs со ссылкой на экспертов компании Trustwave.

Эта уязвимость была обнаружена в ходе конкурса Nullcon CTF в январе 2012 года и, по мнению многих экспертов, стала едва ли не самым грандиозным багом в истории PHP. По чистой случайности информация об уязвимости попала на Reddit и стала достоянием общественности. Брешь в системе безопасности позволяет атакующему выполнить произвольный код, используя лишь адресную строку браузера, на любом сервере, где PHP работает в режиме CGI. Уязвимость была найдена голландской командой Eindbazen.

В течение первых нескольких дней после того, как в Интернет просочились сведения об уязвимости, произошло более 200 тыс. атак на более чем 150 тыс. доменов, размещенных на серверах только лишь одного хостера — DreamHost, который и поделился информацией об активности хакеров. Основной целью злоумышленников было создание бэкдора. PHP Group реагировала обновлением версии PHP, которое должно было закрывать уязвимость, но содержало баг, позволявший легко обойти сделанный патч.

Теперь же эксперты выяснили, что этот давний баг стал вновь использоваться в крупных масштабах для организации ботнетов. Зараженные сервера удаленно контролируются киберпреступниками. Первичная задача злоумышленников — майнинг биткоинов. Кроме того, с помощью бот-сети могут проводиться DDoS-атаки.

После того как нападавшие отыскивают уязвимый сервер, они стремятся установить на него как 64-разрядную, так и 32-разрядную версию вредоносной программы BoSSaBoTv2, объясняют специалисты по безопасности. Зловред доступен на подпольных хакерских форумах по цене $25 при условии, что за обновления придется платить отдельно, либо $125 с пожизненным обновлением. Как отмечают эксперты, торговля вредоносным ПО идет очень активно.

Категории: DoS-атаки, Уязвимости, Хакеры