Cryptominer missbrauchen Leck im Oracle-App-Server – 226.000 Dollar Beute

Ein großes Leck in Oracles PeopleSoft-App-Serlver hatte Oracle im vergangen Jahr gepatcht, nun wird die Lücke von Hackern genutzt, um damit Krypto-Währungen zu errechnen. Über das Leck könnten aber auch andere, schwer zu entdeckende Schädlinge in die Infrastruktur von Anwendern gelangt sein.

Angreifer nutzen derzeit ein Leck in Oracles Applicationserver in Peoplesoft aus, das der Hersteller bereits im Oktober vergangenen Jahres behoben hatte. Doch werden bei diesen Angriffen vermutlich keine Daten gestohlen, sondern die Rechenleistung der Server genutzt um damit Kryptowährungen zu errechnen. In einem Fall waren die Angreifer in der Lage, insgesamt 611 Monero-Coins zu schürfen, die derzeit rund 226.000 Dollar wert sind.Monero (Bild: Monero)

Das SANS Technology Institute veröffentlicht den Bericht des Sicherheitsexperten Renato Marinho von Morphus Labs. In der weltweiten Hacking-Kampagne sind offenbar auch WebLogic-Server betroffen.

Im Dezember hatte der chinesische Sicherheitsforscher Lian Zhang ein Proof-of-Concetpt für das Oracle-Leck veröffentlicht. Nur kurze Zeit später begannen Hacker, die Schwachstellen in verschiedenen Regionen auszunutzen und kleinere Anwendungen für Cryptominer zu installieren. Als Infrastruktur nutzten die Angreifer vor allem Server, die auf GoDaddy, Thenix und Digital Ocean gehostet werden und die vermutlich ebenfalls von den Angreifern gekapert wurden.

HIGHLIGHT

Coinhive: So schützen Sie sich vor dem Cryptominer-Code

MS Defender erkennt den Coinhive-Code zum Schürfen der Kryptowährung Monero nicht. Andere Sicherheitsanbieter machen es besser. Aber auch Adblocker schützen vor den in über 1000 Webseiten versteckten Kryptominern.

Marinho beschreibt die Attacke folgendermaßen: Ein Angreifer muss dafür lediglich die Monero-Mining-Software „xmrig“ auf den angreifbaren WebLocig- und Peoplesoft-Rechnern installieren. Viele dieser Systeme laufen auf öffentlichen Cloud-Systemen wie Amazon Web Services. Aber auch auf anderen Systemen und auf Oracles eigenen Public Cloud Service wurden angegriffene Systeme entdeckt.

Der SANS-Forscher Johannes Ullrich erklärt in einer Analyse der Attacke: „Das ist keine gerichtete Attacke. Sobald das Exploit veröffentlicht wurde, konnte jeder mit grundlegenden Scripting-Kenntnissen ebenfalls die WebLogic/Peoplesoft-Server angreifen.“ Dafür wird ein Installer in Form eines einfachen Bash-Scripts auf den WebLogic-Servern gebracht. Es such andere Blockchain-Miners, die auf dem System möglicherweise schneller installiert wurden und beendet diese. Über einen CRON-Job wird dann das eigentliche Miner-Tool heruntergeladen und gestartet. Damit soll das Tool dann auf dem System bleiben.

Über den Exploit-Code können schnell angreifbare Systeme im Netz gefunden werden. Damit können die Angreifer schnell auf eine große Zahl verwundbarer Systeme zugreifen. Allerdings fallen diese Angriffe auch schnell auf. Das Tool, das den Cryptominer installiert, beendet auch Java-Prozesse auf dem Zielsystem, mit der Folge, dass der Application-Server herunter fährt.

Ullrich warnt aber Administratoren davor, die Systeme einfach mit dem Aufspielen eines Patches zu schützen. Vielmehr sei davon auszugehen, dass Hacker mit ausgefeilteren Methoden versucht haben, über die Lecks dauerhaft auf die Systeme zu kommen. Ein Weg sei es, dies über den CRON-Job zu erreichen. Doch gebe es zahlreiche andere Mittel und Wege, die deutlich schwieriger zu entdecken seien.

HIGHLIGHT

Coinhive: So schützen Sie sich vor dem Cryptominer-Code

MS Defender erkennt den Coinhive-Code zum Schürfen der Kryptowährung Monero nicht. Andere Sicherheitsanbieter machen es besser. Aber auch Adblocker schützen vor den in über 1000 Webseiten versteckten Kryptominern.

Themenseiten: Bitcoin, Oracle, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Cryptominer missbrauchen Leck im Oracle-App-Server – 226.000 Dollar Beute

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *