Sicherheitslücke in Apache CouchDB lässt Monero Miners durch

Originalbeitrag von Hubert Lin

Trend Micro hat auf Grundlage der Daten der eigenen weltweit installierten Sensoren einen neuen Angriff festgestellt, bei dem zwei Sicherheitslücken in der weit verbreiteten Datenbank Apache CouchDB ausgenutzt werden, um Kryptowährungs-Miner für Monero abzulegen (HKTL_COINMINE.GE, HKTL_COINMINE.GP und HKTL_COINMINE.GQ).

Apache CouchDB, ein quelloffenes Datenbank-Managementsystem mit skalierbarer Architektur und einer benutzerfreundlichen Oberfläche, hat zwei Sicherheitslücken, die folgendermaßen missbraucht werden können:

  • Apache CouchDB JSON Remote Privilege Escalation Vulnerability (CVE-2017-12635)
  • Apache CouchDB _config Command Execution (CVE-2017-12636)

Aufgrund von Unterschieden in den Parsern von CouchDB, kann die Ausnutzung dieser Lücken Angreifern Schlüsselduplikate liefern, mit denen sie die Zugriffskontrolle, einschließlich von Administratorenprivilegien innerhalb des Systems übernehmen können. Mithilfe dieser Funktionen lässt sich beliebiger Code ausführen.

Die Sicherheitslücken wurden im November 2017 gepatcht. Standardmäßig nutzt CouchDB den Port 5984/TCP. Den Daten der Sensoren von Trend Micro zufolge erreichten die bösartigen Aktivitäten Anfang Februar einen Höhepunkt.


Bild 1: Das Diagramm zeigt die Entdeckung potenzieller Angriffe, wobei Anfang Februar die Spitzen zu beobachten sind.

Technische Einzelheiten liefert der Originalbeitrag.

Schwachstellen als Gateway zu Kryptowährungs-Mining

Kryptowährungen rücken immer weiter in den Mittelpunkt, und ihr Wert zeigt mal Hochs mal Tiefs. Bitcoin erreichte im Dezember 2017 einen Höhepunkt von 20.000$ und sank auf unter 6.000$ einen Monat später. Natürlich beobachten auch Cyberkriminelle diese Entwicklungen genau und sehen die digitalen Währungen als lukrative Einkommensquelle. Daher ist auch eine Zunahme der Mining-Angriffe zu beobachten. Die Opfer sind sich meist nicht bewusst, dass ihre Ressourcen für Mining missbraucht werden, wenn die Geräte langsamer werden.

Typischerweise hat das Kryptowährungs-Mining einen hohen Ressourcenverbrauch. Angreifer versuchen also Sicherheitslücken zu nutzen, um in Unternehmen einzudringen und sich deren Systemressourcen zu bedienen.

CouchDB ist relativ weit verbreitet, laut DB-Engines Ranking bei DB-Managementsystemen steht die Software an 28. Stelle von insgesamt 300, und wird von einigen großen Unternehmen etwa British Broadcasting Corporation (BBC) für deren Content-Plattformen eingesetzt. Das bedeutet, dass Angreifer für ihre Schürfaktivitäten auf eine große aktive Ressourcenbasis zugreifen können. Doch ist das Vorhandensein von Sicherheitslücken ausschlaggebend, unabhängig vom Datenbanksystem.

Gegenmaßnahmen und Prävention

Kryptowährungs-Mining beeinträchtigt nicht nur die Systemleistung, sondern kann zu einer Vielfalt von Problemen führen, einschließlich Informationsdiebstahl oder weiterer Malware. Doch die Auswirkungen vieler dieser Miner lassen sich über einfache Schritte als Teil von Standard Best Practices eindämmen.

  • Regelmäßige Updates für Geräte können Angriffe über Sicherheitslücken verhindern.
  • Ändern der Default-Zugangsdaten des Geräts und die Wahl von starken Passwörtern kann unerlaubten Zugriff verhindern.
  • Nutzer mit Heim-Router sollten Firewalls aktivieren und vorhandene Intrusion Detection and Prevention Systeme einsetzen.
  • IT-Profis sollten Application Whitelisting sowie weitere ähnliche Sicherheitsfunktionen nutzen, die dazu beitragen können, verdächtige Aktivitäten zu entdecken und verdächtige Executables an der Ausführung zu hindern.

Trend Micro-Lösungen

Auch können Lösungen wie Trend Micro™ XGen™ Security schützen. Dies ist eine neue Klasse Sicherheitssoftware, die die ganze Bandbreite von sich stetig ändernden Bedrohungen abdeckt – heute und auch künftig. Anstelle separater Insellösungen, die keine Informationen untereinander austauschen, bietet XGen™ Security eine generationsübergreifende Kombination von mehreren Technologien zur Abwehr von Bedrohungen und eine vernetzte Thread Defense, mit der sich Unternehmen vor allen unbekannten Bedrohungen schützen können. Zu den Fähigkeiten gehört High Fidelity Machine Learning, um Daten und Anwendungen am Gateways und Endpunkt zu sichern. Gegen gezielte Angriffe, die traditionelle Sicherheitsmaßnahmen umgehen können bietet die Lösung Web/URL-Filtering, Verhaltensanalysen sowie anpassbare Sandboxen.

Trend Micro Deep Security™, Vulnerability Protection kann Nutzersystem vor jeglichen Bedrohungen, die die erwähnten Sicherheitslücken ausnutzen, schützen via folgender DPI-Regeln:

  • 1008751 – Apache CouchDB Remote Code Execution Vulnerabilities (CVE-2017-12635)
  • 1008840 – Apache CouchDB ‘_config’ Command Execution Vulnerability (CVE-2017-12636)

Trend Micro™ TippingPoint™-Kunden sind vor Bedrohungen über die folgenden MainlineDV-Filter geschützt:

  • 30269 HTTP: Apache CouchDB JSON Users Privilege Escalation Vulnerability (CVE-2017-12635)
  • 30279 HTTP: Apache CouchDB JSON Replicator Privilege Escalation Vulnerability (CVE-2017-12635)
  • 30310 HTTP: Apache CouchDB _config Command Execution Vulnerability (CVE-2017-12636)

Trend Micro™ Smart Home Network-Kunden wieder sollten zum Schutz die folgenden Regeln anwenden:

  • 1134319 WEB Apache CouchDB JSON Remote Privilege Escalation -1 (CVE-2017-12635)
  • 1134322 WEB Apache CouchDB _config Command Execution -1.1 (CVE-2017-12636)

Indicators of Compromise (IoCs):

Hash Detected as HKTL_COINMINE.GE

  • 63210b24f42c05b2c5f8fd62e98dba6de45c7d751a2e55700d22983772886017

Hash Detected as HKTL_COINMINE.GP

  • 8bf1def5479b39376b3790a83380831d288c57dd4fbad8e64abc3a9062eb56bb

Hash Detected as HKTL_COINMINE.GQ

  • 5bb66a5e9a7f6c76325a55b7a4a3128fc8631805676bbd3315ce2ac04ac2937b

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.