Uma nova campanha de ciberataques está em curso, aproveitando uma vulnerabilidade crítica no servidor Apache HTTP para invadir sistemas e instalar o minerador de criptomoedas Linuxsys. Embora a falha CVE-2021-41773 tenha sido divulgada em 2021 e já conte com correções disponíveis, muitos servidores continuam desatualizados e, portanto, vulneráveis.
Neste artigo, explicamos em detalhes como os atacantes exploram essa brecha, o funcionamento do malware Linuxsys, sua relação com campanhas anteriores e, mais importante, como você pode proteger seus servidores Linux dessa ameaça crescente.
Essa campanha reforça uma lição importante no campo da cibersegurança: falhas conhecidas e não corrigidas (as chamadas N-day) continuam sendo uma das principais portas de entrada para ataques — às vezes com mais impacto que as falhas zero-day.
O que é a falha CVE-2021-41773 no Apache?
A CVE-2021-41773 é uma vulnerabilidade de travessia de diretórios (path traversal) identificada na versão 2.4.49 do Apache HTTP Server. Essa falha permite que um atacante, ao explorar uma solicitação especialmente elaborada, acesse arquivos fora do diretório raiz do servidor web.
Mais grave ainda: em sistemas configurados com CGI ou permissões de execução, essa vulnerabilidade pode permitir a execução remota de código (RCE). Ou seja, com um simples comando HTTP, o invasor pode rodar scripts maliciosos no servidor, abrir brechas adicionais e implantar malware como o Linuxsys.
Apesar da atualização corretiva ter sido liberada rapidamente (versão 2.4.50), muitos administradores ainda mantêm servidores desatualizados, seja por falta de monitoramento ou desconhecimento da gravidade da falha.
Como funciona o ataque do minerador Linuxsys
Pesquisadores da VulnCheck analisaram a nova campanha e detalharam a cadeia de infecção usada pelos atacantes. A operação é silenciosa, sofisticada e utiliza várias táticas para evitar detecção.
A exploração inicial
O ataque começa com requisições HTTP maliciosas oriundas de um único endereço IP, que tenta explorar a falha Apache Linuxsys nos servidores expostos.
A requisição utiliza a brecha de travessia de diretórios para executar comandos no sistema alvo, abrindo caminho para o download de um script malicioso.
Distribuição inteligente de malware
Uma vez com acesso, o atacante executa comandos como curl ou wget para baixar um script inicial hospedado no domínio repositorylinux.org. Esse script serve como “loader” e é responsável por distribuir o minerador Linuxsys.
Curiosamente, os arquivos do malware não vêm diretamente desse domínio, mas sim de sites legítimos previamente comprometidos. Essa técnica dificulta a detecção por antivírus e utiliza certificados SSL válidos, tornando o tráfego malicioso mais difícil de identificar.
Garantindo a persistência
Após a instalação do minerador, um segundo script chamado cron.sh é executado. Ele configura tarefas agendadas (cron jobs) para garantir que o Linuxsys seja reiniciado automaticamente a cada boot do sistema.
Essa etapa assegura a persistência do malware e maximiza a extração de recursos da máquina comprometida.
Linuxsys: um velho conhecido de outras batalhas
O Linuxsys não é um malware novo. Ele já esteve presente em diversas outras campanhas, explorando falhas críticas em sistemas populares. Alguns exemplos incluem:
- CVE-2023-22527, em instâncias vulneráveis do Atlassian Confluence
- CVE-2023-38646, em servidores do Metabase
- CVE-2024-36401, no OSGeo GeoServer
Esses casos mostram que os operadores do Linuxsys têm um perfil persistente e oportunista, adaptando rapidamente suas ferramentas para explorar vulnerabilidades amplamente divulgadas, mas nem sempre corrigidas a tempo.
O padrão é claro: assim que uma nova falha crítica é tornada pública, os mesmos grupos atualizam seus scripts para aproveitar a brecha e ampliar o alcance do minerador.
Como se proteger e detectar a ameaça
A melhor forma de combater esse tipo de ataque é a prevenção proativa. A seguir, listamos as principais medidas que administradores de sistemas devem adotar:
Verifique e atualize seu Apache imediatamente
Comece verificando a versão atual do Apache instalada no seu sistema com os comandos:
httpd -v
ou
apache2 -v
Se a versão reportada for 2.4.49 ou inferior, seu sistema está vulnerável. A atualização para a versão 2.4.50 ou superior é obrigatória.
Consulte o repositório da sua distribuição Linux ou compile a nova versão a partir da fonte oficial, caso necessário.
Sinais de uma infecção por cryptojacking
Fique atento aos seguintes indícios de que seu servidor pode estar infectado com o minerador Linuxsys:
- Uso elevado e constante da CPU, mesmo em períodos de baixa atividade.
- Lentidão incomum no sistema ou nos serviços web.
- Presença de processos desconhecidos, especialmente relacionados a scripts de shell ou binários desconhecidos.
- Atividade de rede anormal, como conexões para domínios estranhos ou uso excessivo de largura de banda.
A execução de ferramentas como top, ps aux, netstat ou lsof pode ajudar a detectar comportamentos suspeitos.
Conclusão: a perigosa lição das vulnerabilidades “esquecidas”
A campanha que explora a falha Apache Linuxsys deixa uma mensagem clara: a gestão de atualizações é tão importante quanto a detecção de ameaças novas.
Vulnerabilidades antigas continuam sendo exploradas ativamente, e o simples fato de um sistema estar exposto à internet sem patch já é suficiente para torná-lo um alvo.
Reforce agora a política de atualização dos seus servidores, automatize o monitoramento de versões e aplique correções com agilidade. Afinal, como mostra esse caso, não são apenas as falhas zero-day que causam estragos — as N-day esquecidas também matam.
Compartilhe este artigo com sua equipe e deixe suas dúvidas ou experiências nos comentários. Seu relato pode ajudar outros administradores a evitarem uma dor de cabeça futura.
