Apache Nifi es el blanco de actores de amenazas motivados financieramente que buscan explotar instancias desprotegidas en Internet. Estos ataques están destinados a instalar encubiertamente mineros de criptomonedas y facilitar movimientos laterales en los sistemas.
Actividad Sospechosa Detectada en Apache Nifi
El Centro de Tormenta de Internet Sans (ISC) ha detectado un incremento en las solicitudes HTTP para «/Nifi» a partir del 19 de mayo de 2023. Según el Dr. Johannes Ullrich, Decano de Investigación del Instituto de Tecnología Sans, los scripts de ataque se mantienen sólo en la memoria y no se guardan en el sistema.
Apache Nifi y la Amenaza del Malware Kinsing
Una configuración de Honeypot permitió que el ISC descubriera que el ataque inicial se arma para descargar un script de shell que elimina el archivo «/var/log/syslog», desactiva el firewall y termina las herramientas de minería de criptomonedas de la competencia. Posteriormente, el malware Kinsing se descarga desde un servidor remoto.
El Historial de Kinsing: Explotando Vulnerabilidades
Es importante destacar que Kinsing tiene un historial de explotación de vulnerabilidades conocidas en aplicaciones web públicas para realizar sus ataques. En septiembre de 2022, Trend Micro detalló una cadena de ataque similar que utilizaba antiguos fallos de Oracle WebLogic Server para distribuir el malware de minería de criptomonedas.
Consecuencias del Ataque a Apache Nifi
Los ataques dirigidos por el mismo actor de amenaza contra los servidores Nifi expuestos también implican la ejecución de un segundo script de shell destinado a recolectar claves SSH del host infectado. Esta acción facilita la conexión a otros sistemas dentro de la organización víctima.
Apache Nifi: Objetivo Atractivo para los Atacantes
Debido a su uso como plataforma de procesamiento de datos, los servidores Nifi a menudo tienen acceso a datos críticos de negocios. Según Sans ISC, los servidores Nifi pueden ser blancos atractivos para los atacantes, ya que suelen contar con CPUs grandes, preparadas para tareas de transformación de datos.
Conclusiones sobre los Ataques a Apache Nifi
La creciente amenaza de los actores financieramente motivados contra Apache Nifi es un recordatorio de la importancia de mantener una estrategia de seguridad sólida. Con la constante evolución de las tácticas de ataque, las organizaciones deben permanecer vigilantes y adoptar medidas proactivas para proteger sus sistemas críticos.
Los comentarios están cerrados.