Krypto-Miner greift Linux-Server über fünf Jahre alte Schwachstelle an

Hacker nutzen derzeit eine fünf Jahre alte Sicherheitslücke, um Linux-Server mit einer Schadsoftware zu infizieren, die die Kryptowährung Monero schürft. Die Anfälligkeit mit der Kennung CVE-2013-2618 steckt im Network-Weathermap-Plug-in des Anbieters Cacti. Dabei handelt es sich um ein Open-Source-Tool zur Visualisierung von Netzwerkaktivitäten.

Die im April 2013 offen gelegte Schwachstelle, für die seit fast fünf Jahren ein Patch erhältlich ist, erlaubt es Angreifern, HTML-Code und JavaScript in den Titel von Karten im Netzwerk-Editor einzuschleusen. Darüber hinaus ist es möglich, schädlichen PHP-Code in einen Webserver einzuschleusen.

Die jetzt von Forschern von Trend Micro entdeckte Kampagne richtet sich gegen öffentlich zugängliche Linux-Webserver weltweit. Die meisten Opfer der immer noch aktiven Kampagne finden sich demnach in Japan, Taiwan, China und den USA.

Der Exploit wird benutzt, um Code vom Server abzurufen, und dann über die Sicherheitslücke besagten Code zu verändern und den Krypto-Miner zu installieren. Der schädliche Prozess wiederum wird anschließend alle drei Minuten ausgeführt, um im Fall eines Neustarts des Servers so schnell wie möglich den Schürfvorgang fortzusetzen.

Der Miner selbst ist ein legitimer Monero-Miner, der unter einer Open-Source-Lizenz vertrieben wird. Er wird im Hintergrund ausgeführt. Um die Aktivitäten des Miners zu tarnen, können die Angreifer die von ihm verursachte maximale CPU-Auslastung steuern.

Die Forscher fanden bei ihrer Analyse auch eine Krypto-Geldbörse, in der ein Angreifer 320 Monero gespeichert hatte – umgerechnet knapp 75.000 Dollar. Es sei allerdings nur ein geringer Teil des erwirtschafteten Gesamtprofits. Den schätzen die Forscher auf ungefähr 3 Millionen Dollar.

Trend Micro rät betroffenen Server-Betreibern, das Network-Weathermap-Plug-in von Cacti so schnell wie möglich zu aktualisieren. Zudem sollen Betreiber das Plug-in nicht auf öffentlich zugänglichen Servern ausführen. „Daten von Cacti sollten intern gehalten werden. Wenn diese Daten durchsickern, besteht ein großes Risiko für die operative Sicherheit“, schreiben die Forscher in einem Blogeintrag. Nicht nur Netzwerkadministratoren, sondern auch Angreifer seien möglicherweise in der Lage, mithilfe des Plug-ins jegliche Netzwerkaktivitäten zu überwachen.

Symantec weist in seinem aktuellen Internet Security Threat Report darauf hin, dass die sogenannten Crypto-Jacking-Angriffe im Zuge der stark gestiegenen Kurse für Krypto-Währungen immer beliebter werden. 2017 soll die Zahl dieser Angriffe um 8500 Prozent zugenommen haben. Da Server eine deutliche größere Rechenleistung haben als gewöhnliche Desktop-PCs sind sie – inklusive ihrer Linux-Vertreter – ein sehr beliebtes Ziel für Crypto-Jacking.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago