Aanvallers maken gebruik van een 5 jaar oud beveiligingslek in PHP Weathermap om Linux-servers met een cryptominer te infecteren, zo waarschuwt anti-virusbedrijf Trend Micro. PHP Weathermap is een uitbreiding voor netwerkmonitoringstool Cacti en laat beheerders netwerkverkeer visualiseren.

Een vijf jaar oude kwetsbaarheid in de tool, waarvoor al jaren een update beschikbaar is, geeft aanvallers in bepaalde gevallen de mogelijkheid om kwaadaardige code op de server uit te voeren. Om de aanval uit voeren moet de Cacti-server, naast het draaien van de kwetsbare PHP Weathermap-versie, geen authenticatie vereisen. In het ideale geval zou de webserver zelfs als root moeten draaien. Als aan deze voorwaarden wordt voldaan installeren de aanvallers een cryptominer die de rekenkracht van de server gebruikt om de cryptovaluta Monero te delven.

De vereisten voor het uitvoeren van de aanval zijn opmerkelijk. "Waarom zou iemand zijn netwerkdata publiekelijk willen delen? En draait de webserver echt als root?", merken de onderzoekers van Trend Micro op. Ze stellen dat data van Cacti alleen intern toegankelijk moet zijn en het publiekelijk beschikbaar zijn van deze data een groot beveiligingsrisico is. De meeste aanvallen op PHP Weathermap werden waargenomen in Japan, Taiwan, China en de Verenigde Staten.