Cryptominer missbrauchen Leck im Oracle-App-Server – 226.000 Dollar Beute

Angreifer nutzen derzeit ein Leck in Oracles Applicationserver in Peoplesoft aus, das der Hersteller bereits im Oktober vergangenen Jahres behoben hatte. Doch werden bei diesen Angriffen vermutlich keine Daten gestohlen, sondern die Rechenleistung der Server genutzt um damit Kryptowährungen zu errechnen. In einem Fall waren die Angreifer in der Lage, insgesamt 611 Monero-Coins zu schürfen, die derzeit rund 226.000 Dollar wert sind.

Das SANS Technology Institute veröffentlicht den Bericht des Sicherheitsexperten Renato Marinho von Morphus Labs. In der weltweiten Hacking-Kampagne sind offenbar auch WebLogic-Server betroffen.

Im Dezember hatte der chinesische Sicherheitsforscher Lian Zhang ein Proof-of-Concetpt für das Oracle-Leck veröffentlicht. Nur kurze Zeit später begannen Hacker, die Schwachstellen in verschiedenen Regionen auszunutzen und kleinere Anwendungen für Cryptominer zu installieren. Als Infrastruktur nutzten die Angreifer vor allem Server, die auf GoDaddy, Thenix und Digital Ocean gehostet werden und die vermutlich ebenfalls von den Angreifern gekapert wurden.

Marinho beschreibt die Attacke folgendermaßen: Ein Angreifer muss dafür lediglich die Monero-Mining-Software „xmrig“ auf den angreifbaren WebLocig- und Peoplesoft-Rechnern installieren. Viele dieser Systeme laufen auf öffentlichen Cloud-Systemen wie Amazon Web Services. Aber auch auf anderen Systemen und auf Oracles eigenen Public Cloud Service wurden angegriffene Systeme entdeckt.

Der SANS-Forscher Johannes Ullrich erklärt in einer Analyse der Attacke: „Das ist keine gerichtete Attacke. Sobald das Exploit veröffentlicht wurde, konnte jeder mit grundlegenden Scripting-Kenntnissen ebenfalls die WebLogic/Peoplesoft-Server angreifen.“ Dafür wird ein Installer in Form eines einfachen Bash-Scripts auf den WebLogic-Servern gebracht. Es such andere Blockchain-Miners, die auf dem System möglicherweise schneller installiert wurden und beendet diese. Über einen CRON-Job wird dann das eigentliche Miner-Tool heruntergeladen und gestartet. Damit soll das Tool dann auf dem System bleiben.

Über den Exploit-Code können schnell angreifbare Systeme im Netz gefunden werden. Damit können die Angreifer schnell auf eine große Zahl verwundbarer Systeme zugreifen. Allerdings fallen diese Angriffe auch schnell auf. Das Tool, das den Cryptominer installiert, beendet auch Java-Prozesse auf dem Zielsystem, mit der Folge, dass der Application-Server herunter fährt.

Ullrich warnt aber Administratoren davor, die Systeme einfach mit dem Aufspielen eines Patches zu schützen. Vielmehr sei davon auszugehen, dass Hacker mit ausgefeilteren Methoden versucht haben, über die Lecks dauerhaft auf die Systeme zu kommen. Ein Weg sei es, dies über den CRON-Job zu erreichen. Doch gebe es zahlreiche andere Mittel und Wege, die deutlich schwieriger zu entdecken seien.