[English]Der US-Geheimdienst NSA sowie der australische Geheimdienst haben eine gemeinsame Warnung herausgegeben. Hacker versuchen verstärkt ungepatchte Schwachstellen in Produkten auszunutzen, um über Web-Shell-Malware Systeme zu infiltrieren.
Anzeige
Der nachfolgende Tweet verlinkt auf ein entsprechendes Dokument der NSA/CSS, in dem vor Cyber-Angriffen auf bekannte Schwachstellen gewarnt wird.
Malicious cyber actors are actively using web shells in their intrusion campaigns.
Protect your networks—apply the mitigations listed in the @NSAGov and @ASDGovAu #Cybersecurity Information Sheet found here: https://t.co/5BGbm1Ewy0 pic.twitter.com/6BUf9UV2t1
— NSA/CSS (@NSAGov) April 22, 2020
Bleeping Computer schreibt hier, dass auch das Australian Signals Directorate (ASD) diese gemeinsame Warnung ausgibt. In einem gemeinsamen Bericht warnen NSA und ASD vor Cyber-Angriffen, die zunehmend anfällige Webserver für den Einsatz von Web-Shells ausnutzen. "Böswillige Cyber-Akteure machen sich zunehmend Web-Shells zunutze, um Zugang zu Systemen der Opfer zu erhalten oder aufrechtzuerhalten", schreibt die NSA.
Web-Shells als Backdoor
Web-Shells sind bösartige Werkzeuge, die Hacker auf einem kompromittierten internen oder dem Internet ausgesetzten Server einsetzen können, um Zugang zu erhalten und aufrechtzuerhalten. Web-Shells ermöglichen zudem Remote beliebige Befehle auszuführen, zusätzliche Malware-Nutzlasten zu installieren und auf andere Geräte innerhalb eines Netzwerks zuzugreifen.
Web-Shells können in einer Vielzahl von Formen auf anfällige Server hochgeladen werden. Das reicht von Programmen, die speziell zur Bereitstellung von Web-Shell-Funktionen entwickelt wurden, über Perl-, Ruby-, Python- und Unix-Shell-Skripte bis hin zu Anwendungs-Plugins und PHP- und ASP-Codeschnipseln, die in die Seiten einer Webanwendung eingefügt werden.
Erkennen und abwehren
Der 17 Seiten lange Sicherheitsratgeber, der von den beiden Geheimdiensten veröffentlicht wurde, enthält eine Vielzahl von Informationen für Sicherheitsteams. Das reicht vom Aufspüren versteckter Web-Shells bis hin zur Reaktion und Beseitigung erkannter Infektionen. Zudem werden die ausgenutzten Schwachstellen aufgelistet.
| Vulnerability Identifier | Affected Application | Reported |
| CVE-2019-0604 | Microsoft SharePoint | 15 May 2019 |
| CVE-2019-19781 | Citrix Gateway, Citrix Application Delivery Controller, and Citrix SD-WAN WANOP appliances | 22 Jan 2020 |
| CVE-2019-3396 | Atlassian Confluence Server | 20 May 2019 |
| CVE-2019-3398 | Atlassian Confluence Server and Atlassian Confluence Data Center | 26 Nov 2019 |
| CVE-2019-9978 | WordPress "Social Warfare" Plugin | 22 Apr 2019 |
| CVE-2019-18935 CVE-2017-11317 CVE-2017-11357 | Progress Telerik UI | 7 Feb 2019 |
| CVE-2019-11580 | Atlassian Crowd and Crowd Data Center | 15 July 2019 |
| CVE-2020-10189 | Zoho ManageEngine Desktop Central | 6 Mar 2020 |
| CVE-2019-8394 | Zoho ManageEngine ServiceDesk Plus | 18 Feb 2019 |
| CVE-2020-0688 | Microsoft Exchange Server | 10 Mar 2020 |
| CVE-2018-15961 | Adobe ColdFusion | 8 Nov 2018 |
Obige Tabelle enthält bekannte Schwachstellen aus diversen Produkten, für die es längst Sicherheitsupdates gibt, die aber auf ungepatchten Systemen angegriffen werden. Weitere Details lassen sich bei Bleeping Computer nachlesen.
2015
"sowie der astralische Geheimdienst"
der (bekannt) astralische also – oder doch der aUstralische?
:D
Da ASD und NSA das melden, vermute ich mal das die beiden Geheimdienste diese Backdoor lücke breits ausgenutzt haben und nun nicht mehr brauchen. Ansonsten würden die beiden Geheimdienste das nicht bekannt geben. Meine Meinung jedenfalls.
Habe ich mir auch gedacht. Sieht stark danach aus.