Botnet Malware kann Remote Code ausführen, DDoS-Angriffe und Krypto-Mining

Originalbeitrag von Augusto II Remillano

Die Honeypot-Sensoren der Sicherheitsforscher von Trend Micro entdeckten kürzlich eine Variante der AESDDoS Botnet Malware (Backdoor.Linux.AESDDOS.J), die eine Template Injection-Sicherheitslücke (CVE-2019-3396) im Widget Connector-Makro im Atlassian Confluence Server ausnutzte. Dieser Server ist eine von DevOps-Profis häufig eingesetzte Collaboration Software.

Die Forscher stellten fest, dass die Schadsoftware-Variante auf den Systemen, die angreifbare Versionen des Confluence Server und Data Center einsetzen, DDoS-Angriffe, Remote Code ausführen sowie Kryptowährung schürfen kann. Des weiteren ist die Variante auch in der Lage, Informationen von den infizierten Systemen zu stehlen, etwa die Modell-ID und CPU-Beschreibung, -Geschwindigkeit, -Familie, -Modell und -Typus. Diese Infos lassen sich im Endeffekt dann zum Laden des Krypto-Miners auf die Maschine nutzen. Technische Einzelheiten liefert der Originalbeitrag.

Atlassian hat bereits Schritte unternommen, um die Lücken zu schließen. Die Tabelle listet die betroffenen Versionen und die aktualisierten auf.

Version Family Affected Versions Fixed Versions
6.6.x 6.6.0 – 6.6.11 6.6.12 and later
6.12.x 6.7.0 – 6.12.2 6.12.3 and later
6.13.x 6.13.0 – 6.13.2 6.13.3 and later
6.14.x 6.14.0 – 6.14.1 6.14.2 and later

Sicherheitsempfehlungen

Atassian empfiehlt Anwendern, auf die neueste Version (6.15.1) upzugraden.

In der Softwareentwicklung sollte kontinuierliches Monitoring praktiziert werden, um Sicherheitsrisiken in Servern, Datenzentren und weiteren Computerumgebungen zu erkennen. Auch müssen Unternehmen in der Lage sein, Schwachstellen zu identifizieren, um die eigenen Ressourcen keinem Risiko auszusetzen. Dafür bedarf es des Einsatzes der neuesten Bedrohungsintelligenz im Kampf gegen Malware und Exploits und um Änderungen am Design von Anwendungen und der darunter liegenden Infrastruktur zu erkennen.

Risiken können durch die Einführung von Drittanbieterkomponenten entstehen. Für deren Erkennung und Minimierung ist der Einsatz automatisierter Sicherheit empfehlenswert. Ein Bespiel solcher Sicherheit liefert Trend MicroHybrid Cloud Security. Die Lösung bietet funktionsstarke, schlanke, automatisierte Sicherheit in der DevOps Pipeline. Die Lösung liefert auch mehrere XGen™ Threat Defense-Techniken für den Schutz von physischen, virtuellen und Cloud-Workloads. Zusätzlich schützt die Lösung Container mithilfe von Deep Securityund Deep Security Smart Check, die DevOps- und Sicherheitsteams dabei unterstützen, Container Images zu scannen und damit Security vor und während der Laufzeit zu gewährleisten.

Indicators of Compromise (IoCs) im Originalbeitrag enthalten.

Zusätzliche Erkenntnisse und Analysen von Jakub Urbanec

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.