Website des Internet Systems Consortium gehackt

Das Internet Systems Consortium (ISC) hat seinen Webserver vom Netz getrennt. Als Grund nennt es den Verdacht, „dass wir mit Malware infiziert worden sein könnten“. Das gemeinnützige ISC steht hinter dem quelloffenen Serverprogramm Berkeley Internet Name Domain (BIND), der verbreitetsten Domain-Name-System-Software (DNS) unter Unix und Linux.

DNS wiederum heißt das System, das von Menschen eingegebene Internetadressen wie www.zdnet.de in Internet-Protocol-Adressen (IP) wie 87.98.242.148 übersetzt. Sollte es Angreifern gelungen sein, den BIND-Code zu korrumpieren, könnten sie in jedes System eindringen, das eine Aktualisierung durchführt. Zugleich wären DDoS-Angriffe leicht denkbar.

Zusätzlich betreibt das ISC den F-DNS-Root-Server – einen von 13 weltweit, auf denen das Domain-Name-System beruht. Bisher ist aber keine Verbindung der Angriffe zu BIND oder diesem Server bekannt. Vielmehr hostete die ISC-Site mehrere Tage lang ein Exploit-Kit, das Windows-Systeme angreift.

Das Problem scheint von der Sicherheitsfirma Cyphort bemerkt worden zu sein. Sie informierte das ISC am 22. Dezember über von ihm gehostete Malware. Sie vermutet eine veraltete WordPress-Version als Angriffsvektor.

Verteilt wurde auf diese Weise das Angler Exploit Kit. Das ISC empfiehlt allen Besuchern der letzten Tage, ihren PC einem Malware-Scan zu unterziehen. DNS-Code und DNS-Server laufen auf anderen Systemen als dem WordPress-Server.

Administratoren, die BIND einsetzen, sollten diese trotz eventueller Bedenken aktualisieren. Die jüngste Version behebt eine am 9. Dezember vom CERT der Carnegie-Mellon-Universität gemeldete DNS-Schwachstelle, die rekursive DNS-Wandler durch eine unendliche Bezugskette ausschalten kann.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de