Oracle WebLogic-Sicherheitslücke für Monero-Mining genutzt

Da ist er wieder, der Fluch der Cloud. Unaufmerksame Cloud-Kunden haben das Patchen von Oracle-Software vernachlässigt. So konnte sich ein Monero Krypto-Miner einschleichen und die CPU der Cloud-Dienste für eigene Zwecke nutzen.

Oracle WebLogic Schwachstelle im Visier

Die Schwachstelle im Oracle WebLogic (CVE 2017-10271) wurde eigentlich schon im Oktober letzten Jahres behoben. Allerdings patchen wohl einige Kunden ihre Oracle-Systeme nicht. Einmal, möglicherweise von einem Dienstleister aufgesetzt, müssen die System rennen. Inzwischen wird diese Sicherheitslücke gezielt auf nicht gepatchten Rechnern ausgenutzt, um Monero-Miner zu installieren. Diese schürfen dann Kryptogeld auf Kosten der betroffenen Kunden.

Renato Marinho, Chief Research Officer bei Morphus Labs, schrieb (gelöscht) am Montag für das SANS Technology Institute, dass ein kürzlich bekannt gewordener Software-Fehler – insbesondere eine schlechte Eingabebereinigung in wls-wsat, einer WebLogic-Komponente – ausgenutzt werden kann, um es einem unauthentifizierten Angreifer zu ermöglichen, beliebige Befehle mit Server-Benutzerrechten auszuführen.

Die Schwachstelle betrifft auch die PeopleSoft-Software von Oracle, die WebLogic als Server enthalten kann. In einem Nachfolgebeitrag schreibt Johannes B. Ullrich, SANS Dean of Research, dass ein Proof of Concept Exploit von Lian Zhang, einem chinesischen Sicherheitsforscher, auf dessen Blog im Dezember veröffentlicht wurde. Bis zum Ende dieses Monats, tauchte ein funktionierendes Exploit, der zur Installation von Kryptomining-Code entwickelt wurde, auf.

Der Exploit lädt eine Bash-Datei herunter, die ein geeignetes Arbeitsverzeichnis auswählt, tötet aktives Crypto-Mining auf dem System und erstellt einen CRON-Job, um neuen Mining-Code herunterzuladen, der entweder als XMRig oder fs-Manager identifiziert wird.

Angriff kaum zu übersehen

Der Angriff scheint, wie The Register hier schreibt, schwer zu übersehen zu sein, da er auch den WebLogic-Dienst auf dem Zielcomputer kill. Aber bei Cloud-Providern wird den Kunden offenbar nicht besonders viel Aufmerksamkeit geschenkt. Laut Ullrich zeigt ein Protokoll eines kompromittierten Systems, das den Zeitraum von fünf Tagen vom 4. Januar bis 9. Januar dieses Jahres abdeckt, 722 betroffene IP-Adressen an verschiedenen Orten auf der ganzen Welt.

Viele der betroffenen Hosts sind bei Cloud Service Providern: ~144 bei Amazon Web Services, ~41 bei Digital Ocean, ~33 bei Google Cloud, ~30 bei Microsoft Azure, ~30 bei Oracle Cloud und ~17 bei OVH.

„Das ist keine Überraschung, denn viele Unternehmen verlagern ihre wichtigsten Daten in die Cloud, um es den Bösewichten leichter zu machen, an sie heranzukommen“, so Ullrich. Ullrich sagte, dass XMRig legitimer Krypto-Mining-Code ist. Bei einem Kunden, wo man die Kontrolle über die Konfigurationsdatei wieder erlangen konnte, stellte man fest, dass dem Miner das Schürfen von 611 Monero-Coins gelungen ist.

Dies stellt theoretisch einen Wert von etwa 226.070 US-Dollar dar, kein Pappenstiel. Allerdings geht man davon aus, dass dieser Miner über einen längeren Zeitraum aktiv war. Denn aktuell kann der Miner mit einer 450 KH/s Hash-Rate des Systems nur etwa 31.000 $ in Miner-Münzen pro Monat generieren.

Sicherheitsforscher Marinho fand in Protokolldateien auch den Versuch einer anderen Gruppe, die die gleiche Sicherheitslücke nutzten, um AEON, eine weniger bekannte Krypto-Währung, zu schürfen. Eher ironisch bemerkte Ullrich: „Obwohl sie eine ähnliche Hash-Rate erreichen, haben sie bisher nur etwa 6.000 Dollar verdient. Vielleicht wechseln sie nach der Lektüre zu Monero.“

Ergänzung: Auch heise.de hat inzwischen diesen Beitrag publiziert, wie ich gerade gesehen habe.

Auch deutsche Firmen/Behörden als Ziel

Es hat zwar nicht direkt mit dem obigen Fall zu tun. Aber vor ein paar Tagen berichtete heise.de in diesem Artikel, dass das Landesamt für Besoldung und Versorgung Baden-Württemberg Opfer einer Hackerattacke geworden sei. In der Stellungnahme der Behörde heißt es:

Nach einem Hacker-Angriff auf die Anmeldeserver des Landesamts für Besoldung und Versorgung in Fellbach sind die Online-Services aus Sicherheitsgründen vorübergehend abgeschaltet worden. Der Angriff ist Anfang des Jahres entdeckt worden. Bei der Attacke wurden einzelne Rechenprozesse gestoppt; der Versuch, weitere Software auf dem Server zu installieren, wurde durch die Sicherheitssysteme abgewehrt. Ziel des Angriffes war es offenbar, Rechenleistung zu kapern.

Irgendwo Wildwest-Methoden, da draußen in der Cloud, oder? Wie können wir dem begegnen? Mit noch besserer Vernetzung und mehr Cloud, oder?

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert