Log4Shell exploitée pour miner sur des serveurs EPYC de HP ?

Publiée récemment et gratifiée avec la note CVSS 3.0 la plus élevée, la faille Log4Shell semble avoir fait l'objet d'une nouvelle exploitation. Les victimes présumées ? Des serveurs HP 9000 basés sur des processeurs EPYC d'AMD, autrement dit des machines bien puissantes !  Que s'est-il passé ? Eh bien un groupe de hackers (ou un seul individu, difficile à dire) aurait pris pour cible les serveurs en question - facilement exploitables grâce à la sévérité et la nature de cette faille ne nécessitant absolument aucune proximité avec la cible - et ce pour une seule raison : miner du Raptoreum !

On le sait déjà, l'algorithme Ghostrider de cette cryptomonnaie basée sur un modèle proof-of-work s'accommode apparemment très bien des processeurs avec de gros caches L3, un critère que les processeurs EPYC remplissent donc parfaitement. L'attaquant aurait visiblement bien réussi son coup, si l'on en croit du doublement du hashrate - de 200 à 400 MH/s - détecté par les développeurs de la cryptomonnaie, une augmentation très conséquente et inhabituelle liée à une seule adresse de porte-monnaie et dont toutes les machines alors actives possédaient des surnoms HP.

Les développeurs ne pouvaient en réalité que spéculer, mais ils en arrivèrent à la conclusion qu'aucun matériel accessible aux particuliers n'est réellement capable de booster les performances de la sorte, les preuves résultantes de leur enquête privée étaient donc en faveur d'une exploitation de serveurs EPYC 9000 de HP. Le saut en hashrate a été détecté le 9 décembre dernier et s'est étalé jusqu'au 17 décembre, après quoi le hashrate est abruptement retourné à la normale, suggérant qu'un patch correctif pour prévenir l'exploitation de Log4Shell aurait été déployée ce jour-là sur les serveurs, à l'exception d'un seul sur lequel la mise à jour n'aurait apparemment pas fonctionné, au moins une machine étant a priori toujours en train de miner activement du Raptoreum.

En tout cas, le pirate aura réussi à collecter pas moins de 30 % des récompenses du bloc sur cette période, à savoir 3,4 millions de RTM (ce qui aura temporairement placé cette adresse dans le top 20 des plus gros portemonnaies Raptoreum), ayant aujourd'hui une valeur d'environ 81 000 $ (contre 110 000 $ le 21/12). Entre-temps, 1,5 million a été liquidé via une plateforme de change, tandis que le reste sommeille toujours sur le porte-monnaie, probablement dans l'espoir d'une prochaine évolution plus favorable du cours.

Bon, il faut admettre qu'il ne semble en fin de compte n'y avoir aucune preuve tangible qu'il s'agissait vraiment d'une exploitation de la faille Log4Shell, certes très critique et facilement exploitable. Faut-il pour autant mettre de côté l'hypothèse d'une exploitation discrète réalisée en interne par un admin un peu trop gourmand avec un accès privilégié à du hardware qui se tournait peut-être un peu les pouces  ? Allez savoir, tout est possible dans ce monde fou. Conclusion, les EPYC, c'est probablement quand même super pour miner ! (Source)