![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Da ist er wieder, der Fluch der Cloud. Unaufmerksame Cloud-Kunden haben das Patchen von Oracle-Software vernachl\u00e4ssigt. So konnte sich ein Monero Krypto-Miner einschleichen und die CPU der Cloud-Dienste f\u00fcr eigene Zwecke nutzen.<\/p>\nDa ist er wieder, der Fluch der Cloud. Unaufmerksame Cloud-Kunden haben das Patchen von Oracle-Software vernachl\u00e4ssigt. So konnte sich ein Monero Krypto-Miner einschleichen und die CPU der Cloud-Dienste f\u00fcr eigene Zwecke nutzen.<\/p>\n
<\/p>\n
Renato Marinho, Chief Research Officer bei Morphus Labs, schrieb (gel\u00f6scht) am Montag f\u00fcr das SANS Technology Institute, dass ein k\u00fcrzlich bekannt gewordener Software-Fehler – insbesondere eine schlechte Eingabebereinigung in wls-wsat, einer WebLogic-Komponente – ausgenutzt werden kann, um es einem unauthentifizierten Angreifer zu erm\u00f6glichen, beliebige Befehle mit Server-Benutzerrechten auszuf\u00fchren.<\/p>\n Die Schwachstelle betrifft auch die PeopleSoft-Software von Oracle, die WebLogic als Server enthalten kann. In einem Nachfolgebeitrag<\/a> schreibt Johannes B. Ullrich, SANS Dean of Research, dass ein Proof of Concept Exploit von Lian Zhang, einem chinesischen Sicherheitsforscher, auf dessen Blog im Dezember ver\u00f6ffentlicht wurde. Bis zum Ende dieses Monats, tauchte ein funktionierendes Exploit, der zur Installation von Kryptomining-Code entwickelt wurde, auf.<\/p>\n Der Exploit l\u00e4dt eine Bash-Datei herunter, die ein geeignetes Arbeitsverzeichnis ausw\u00e4hlt, t\u00f6tet aktives Crypto-Mining auf dem System und erstellt einen CRON-Job, um neuen Mining-Code herunterzuladen, der entweder als XMRig oder fs-Manager identifiziert wird.<\/p>\n Der Angriff scheint, wie The Register hier schreibt<\/a>, schwer zu \u00fcbersehen zu sein, da er auch den WebLogic-Dienst auf dem Zielcomputer kill. Aber bei Cloud-Providern wird den Kunden offenbar nicht besonders viel Aufmerksamkeit geschenkt. Laut Ullrich<\/a> zeigt ein Protokoll eines kompromittierten Systems, das den Zeitraum von f\u00fcnf Tagen vom 4. Januar bis 9. Januar dieses Jahres abdeckt, 722 betroffene IP-Adressen an verschiedenen Orten auf der ganzen Welt.<\/p>\n Viele der betroffenen Hosts sind bei Cloud Service Providern: ~144 bei Amazon Web Services, ~41 bei Digital Ocean, ~33 bei Google Cloud, ~30 bei Microsoft Azure, ~30 bei Oracle Cloud und ~17 bei OVH.<\/p>\n \"Das ist keine \u00dcberraschung, denn viele Unternehmen verlagern ihre wichtigsten Daten in die Cloud, um es den B\u00f6sewichten leichter zu machen, an sie heranzukommen\", so Ullrich. Ullrich sagte, dass XMRig legitimer Krypto-Mining-Code ist. Bei einem Kunden, wo man die Kontrolle \u00fcber die Konfigurationsdatei wieder erlangen konnte, stellte man fest, dass dem Miner das Sch\u00fcrfen von 611 Monero-Coins gelungen ist. <\/p>\n Dies stellt theoretisch einen Wert von etwa 226.070 US-Dollar dar, kein Pappenstiel. Allerdings geht man davon aus, dass dieser Miner \u00fcber einen l\u00e4ngeren Zeitraum aktiv war. Denn aktuell kann der Miner mit einer 450 KH\/s Hash-Rate des Systems nur etwa 31.000 $ in Miner-M\u00fcnzen pro Monat generieren. <\/p>\n Sicherheitsforscher Marinho fand in Protokolldateien auch den Versuch einer anderen Gruppe, die die gleiche Sicherheitsl\u00fccke nutzten, um AEON, eine weniger bekannte Krypto-W\u00e4hrung, zu sch\u00fcrfen. Eher ironisch bemerkte Ullrich: \"Obwohl sie eine \u00e4hnliche Hash-Rate erreichen, haben sie bisher nur etwa 6.000 Dollar verdient. Vielleicht wechseln sie nach der Lekt\u00fcre zu Monero.\" <\/p>\n Erg\u00e4nzung: Auch heise.de hat inzwischen diesen Beitrag<\/a> publiziert, wie ich gerade gesehen habe. <\/p>\n Es hat zwar nicht direkt mit dem obigen Fall zu tun. Aber vor ein paar Tagen berichtete heise.de in diesem Artikel<\/a>, dass das Landesamt f\u00fcr Besoldung und Versorgung Baden-W\u00fcrttemberg Opfer einer Hackerattacke geworden sei. In der Stellungnahme der Beh\u00f6rde<\/a> hei\u00dft es: <\/p>\n Nach einem Hacker-Angriff auf die Anmeldeserver des Landesamts f\u00fcr Besoldung und Versorgung in Fellbach sind die Online-Services aus Sicherheitsgr\u00fcnden vor\u00fcbergehend abgeschaltet worden. Der Angriff ist Anfang des Jahres entdeckt worden. Bei der Attacke wurden einzelne Rechenprozesse gestoppt; der Versuch, weitere Software auf dem Server zu installieren, wurde durch die Sicherheitssysteme abgewehrt. Ziel des Angriffes war es offenbar, Rechenleistung zu kapern. <\/p>\n<\/blockquote>\n Irgendwo Wildwest-Methoden, da drau\u00dfen in der Cloud, oder? Wie k\u00f6nnen wir dem begegnen? Mit noch besserer Vernetzung und mehr Cloud, oder?<\/p>\n","protected":false},"excerpt":{"rendered":" Da ist er wieder, der Fluch der Cloud. Unaufmerksame Cloud-Kunden haben das Patchen von Oracle-Software vernachl\u00e4ssigt. So konnte sich ein Monero Krypto-Miner einschleichen und die CPU der Cloud-Dienste f\u00fcr eigene Zwecke nutzen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[819,4328],"class_list":["post-199634","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-oracle","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/199634","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=199634"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/199634\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=199634"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=199634"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=199634"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die Schwachstelle im Oracle WebLogic<\/a> (CVE 2017-10271) wurde eigentlich schon im Oktober letzten Jahres behoben. Allerdings patchen wohl einige Kunden ihre Oracle-Systeme nicht. Einmal, m\u00f6glicherweise von einem Dienstleister aufgesetzt, m\u00fcssen die System rennen. Inzwischen wird diese Sicherheitsl\u00fccke gezielt auf nicht gepatchten Rechnern ausgenutzt, um Monero-Miner zu installieren. Diese sch\u00fcrfen dann Kryptogeld auf Kosten der betroffenen Kunden.<\/p>\n
Angriff kaum zu \u00fcbersehen<\/h2>\n
Auch deutsche Firmen\/Beh\u00f6rden als Ziel<\/h2>\n
\n