Svjetska mrežna aktivnost pokazuje povećan nivo skeniranja u potrazi za otvorenim Java Debug Wire Protocol (JDWP) interfejsima, koje zlonamjerni akteri koriste za izvršavanje koda i rudarenje kriptovaluta.
Ranije, slične ranjivosti su se ispoljavale u vidu eksploatacije otvorenih portova, ali ovo upozorenje naglašava novonastali obrazac gdje kompromitovanje JDWP interfejsa omogućava direktnu kontrolu nad Java aplikacijama. Upozorenje je prvobitno objavljeno na mreži X, a detaljnije ga je razradila sigurnosna kompanija Trail of Bits na svom blogu.
Ovaj napadni vektor se oslanja na činjenicu da mnogi Java programeri, tokom razvoja, ostavljaju JDWP interfejse otvorenim i dostupnim sa interneta, često bez adekvatne zaštite. Ukoliko napadač otkrije ovakav nezaštićeni port, može se povezati sa tom aplikacijom i izvršavati proizvoljan kod, što otvara vrata za različite maliciozne aktivnosti, uključujući i instalaciju rudara kriptovaluta. Rudari potom eksploatišu računarske resurse napadnute mašine kako bi generisali kriptovalute za napadača.
Metodologija napada je prilično jednostavna sa tehničke strane, iako je krajnji cilj sofisticiran. Napadači skeniraju internet u potrazi za serverima koji imaju otvoren JDWP port (obično port 8000). Kada pronađu takav server, koriste posebne alate da se povežu sa JDWP interfejsom. Nakon uspostavljanja veze, oni mogu ubrizgati vlastiti zlonamjerni kod u pokrenutu Java aplikaciju. Jedan od najčešćih scenarija je učitavanje biblioteke koja potom pokreće proces za rudarenje kriptovaluta, poput Monero ili Ethereum.
Iako se u samom izvoru ne navodi konkretan primjer žrtve, ovakvi napadi su se već ranije dešavali u raznim oblicima. Prevaranti ne “mame” žrtve u klasičnom smislu, jer ovdje nema elementa socijalnog inženjeringa koji bi uvjerio korisnika da klikne na link ili otvori datoteku. Umjesto toga, oni direktno ciljaju servere i aplikacije koje su po svojoj prirodi, usljed grešaka u konfiguraciji, ostavile otvoren ulaz. Uvjerljivost prevare leži u činjenici da napadač dobija punu kontrolu nad sistemom bez znanja vlasnika, a ukradeni resursi se koriste za generisanje finansijske koristi za napadača.
Povećani obim skeniranja ukazuje na to da je ovo postao značajan rizik za organizacije koje koriste Java aplikacije, pogotovo one koje su izložene javnom internetu. Kompanije se pozivaju na hitno preispitivanje i osiguranje svih JDWP interfejsa, primjenom odgovarajućih sigurnosnih mjera poput zatvaranja portova koji nisu neophodni ili postavljanja jakih autentifikacionih mehanizama.