Krypto-Miner greift Linux-Server über fünf Jahre alte Schwachstelle an

Sie steckt im Network-Weathermap-Plug-in. Ein Patch liegt bereits ebenfalls seit rund fünf Jahren vor. Angreifer können unter anderem PHP-Code in Webserver einschleusen. Den Ertrag der Hintermänner schätzen Forscher auf bisher rund 3 Millionen Dollar.

Hacker nutzen derzeit eine fünf Jahre alte Sicherheitslücke, um Linux-Server mit einer Schadsoftware zu infizieren, die die Kryptowährung Monero schürft. Die Anfälligkeit mit der Kennung CVE-2013-2618 steckt im Network-Weathermap-Plug-in des Anbieters Cacti. Dabei handelt es sich um ein Open-Source-Tool zur Visualisierung von Netzwerkaktivitäten.

Malware (Bild: Maksim Kabakou/Shutterstock)Die im April 2013 offen gelegte Schwachstelle, für die seit fast fünf Jahren ein Patch erhältlich ist, erlaubt es Angreifern, HTML-Code und JavaScript in den Titel von Karten im Netzwerk-Editor einzuschleusen. Darüber hinaus ist es möglich, schädlichen PHP-Code in einen Webserver einzuschleusen.

Die jetzt von Forschern von Trend Micro entdeckte Kampagne richtet sich gegen öffentlich zugängliche Linux-Webserver weltweit. Die meisten Opfer der immer noch aktiven Kampagne finden sich demnach in Japan, Taiwan, China und den USA.

Der Exploit wird benutzt, um Code vom Server abzurufen, und dann über die Sicherheitslücke besagten Code zu verändern und den Krypto-Miner zu installieren. Der schädliche Prozess wiederum wird anschließend alle drei Minuten ausgeführt, um im Fall eines Neustarts des Servers so schnell wie möglich den Schürfvorgang fortzusetzen.

Der Miner selbst ist ein legitimer Monero-Miner, der unter einer Open-Source-Lizenz vertrieben wird. Er wird im Hintergrund ausgeführt. Um die Aktivitäten des Miners zu tarnen, können die Angreifer die von ihm verursachte maximale CPU-Auslastung steuern.

Die Forscher fanden bei ihrer Analyse auch eine Krypto-Geldbörse, in der ein Angreifer 320 Monero gespeichert hatte – umgerechnet knapp 75.000 Dollar. Es sei allerdings nur ein geringer Teil des erwirtschafteten Gesamtprofits. Den schätzen die Forscher auf ungefähr 3 Millionen Dollar.

Trend Micro rät betroffenen Server-Betreibern, das Network-Weathermap-Plug-in von Cacti so schnell wie möglich zu aktualisieren. Zudem sollen Betreiber das Plug-in nicht auf öffentlich zugänglichen Servern ausführen. „Daten von Cacti sollten intern gehalten werden. Wenn diese Daten durchsickern, besteht ein großes Risiko für die operative Sicherheit“, schreiben die Forscher in einem Blogeintrag. Nicht nur Netzwerkadministratoren, sondern auch Angreifer seien möglicherweise in der Lage, mithilfe des Plug-ins jegliche Netzwerkaktivitäten zu überwachen.

Symantec weist in seinem aktuellen Internet Security Threat Report darauf hin, dass die sogenannten Crypto-Jacking-Angriffe im Zuge der stark gestiegenen Kurse für Krypto-Währungen immer beliebter werden. 2017 soll die Zahl dieser Angriffe um 8500 Prozent zugenommen haben. Da Server eine deutliche größere Rechenleistung haben als gewöhnliche Desktop-PCs sind sie – inklusive ihrer Linux-Vertreter – ein sehr beliebtes Ziel für Crypto-Jacking.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Themenseiten: Cryptojacking, Linux, Malware, Security, Server, Sicherheit, Trend Micro

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Krypto-Miner greift Linux-Server über fünf Jahre alte Schwachstelle an

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *