Linux Server mit Monero Miner über 5 Jahre alte Lücke infiziert

Publiziert am 29. März 2018 von Günter Born

Eine Hackergruppe hat eine Sicherheitslücke genutzt, um einen Monero Miner auf Linux Servern zu installieren und Krypto-Geld zu schürfen. Die Sicherheitslücke steckt im Cacti "Network Weathermap"-Plugin und besteht seit fünf Jahren.

Anzeige

Die Hacker-Gruppe hat fast 75.000 Dollar durch die Installation einer Monero-Monero-Miners erlöst. Aufgedeckt haben die die Sicherheitsforscher von Trend Micro. Experten des US-Sicherheitsunternehmens Trend Micro verfügen, laut eigener Aussage über Beweise, die diese Angriffe mit früheren Angriffen auf Jenkins-Server in Verbindung bringen. Bei diesem Angriff hatte eine Hacker-Gruppe etwa 3 Millionen Dollar für die Installation eines Moner Miners auf Jenkins-Installationen durch Ausnutzung der CVE-2017-1000353-Schwachstelle erzielt (siehe meinen Blog-Beitrag Achtung: Jenkins-Server werden kompromittiert).

Bei einer neuen Kampagne nutzten die Angreifer die Sicherheitslücke CVE-2013-2618, die in Cacti steckt. Cati vertreibt ein PHP-basiertes Open-Source-Netzwerküberwachungs- und Grafik-Tool. In diesem Tool wird das Netzwerk-Weathermap-Plugin, das für die Visualisierung von Netzwerkaktivitäten verantwortlich ist, verwendet. Und genau dieses Plugin weist die betreffende Schwachstelle auf.

Wie bei den vorherigen Angriffen nutzten Hacker die Schwachstelle aus, um die Berechtigungen zur Codeausführung auf den zugrundeliegenden Servern zu erlangen. Dort wurde dann eine angepasste Version von XMRig, einer legitimen Monero-Mining-Software, heruntergeladen und installiert. Die Angreifer modifizierten auch die lokalen Cron-Jobs, um alle drei Minuten ein "watchd0g" Bash-Skript auszulösen. Das Skript prüfte, ob der Monero-Miner noch aktiv war, und startete gegebenenfalls den Prozess von XMRig neu.

Angreifer machten ungefähr 320 XMR ($75.000) mit dieser einfachen Betriebsart. Alle infizierten Server liefen unter Linux, und die meisten der Opfer befanden sich in Japan (12%), China (10%), Taiwan (10%) und den USA (9%).

Da Cacti-Systeme in der Regel für den Betrieb und die Überwachung interner Netzwerke ausgelegt sind, sollten solche Instanzen eigentlich nicht online zugänglich sein. Allerdings ist das wohl noch nicht bei allen Administratoren angekommen. Und eine bekannte Sicherheitslücke über 5 Jahre nicht zu patchen (obwohl verfügbar), ist auch keine Glanzleistung. (via)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Linux, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.