Estes ataques andam a ser efetuados aproveitando uma vulnerablidade não corrigida nos sistemas-alvo, dada pelo CVE-2017-6526.

De momento, as aplicações dnaLIMS estão a ser procuradas por toda a Internet por um IP Iraniano a fim de serem exploradas, e que são usadas em pesquisas/investigações industriais.

Assim que estas aplicações são encontradas, o hacker coloca uma bind shell para tomar controlo sobre o servidor web.

Qual o possível uso que os atacantes poderiam dar a estas aplicações?

Como se trata de informação de ADN, os hackers podem vender as hashes das sequências de ADN que se encontrem nas bases de dados e vendê-las na dark web ou comprometer servidores para adicionar à sua botnet.

O IP Iraniano em questão tem também um histórico por fazer análises avulsas com o nmap, além de tentativas de exploração tanto dos routers Zyxel CVE-2017-6884 como de falhas ligadas ao sistema Apache Struts CVE-2017-5638.

Fonte: https://www.zdnet.com/article/mysterious-iranian-group-is-hacking-into-dna-sequencers/