Angreifer attackieren ungepatchte Server-Apps von Oracle

Derzeit haben es unbekannte Angreifer weltweit auf PeopleSoft- und WebLogic-Server abgesehen. Nachdem sie sich Zugang verschafft haben, sollen sie Software zum Schürfen der Kryptowährung Monero installieren. Dabei nehmen Sie eine Schwachstelle (CVE-2017-10271) ins Visier, für die Oracle bereits Ende vergangenen Jahres einen Sicherheitspatch veröffentlicht hat.

Offensichtlich sind die angegriffenen Server ungepatcht. Viele der attackierten Server sollen in öffentlichen Cloud-Systemen wie Amazon Web Service laufen. Die Attacken sollen von verschiedenen Orten auf der Welt ausgehen.

Wenig Aufwand für Angriffe

Sicherheitsforscher vom SANS Technology Institute haben die Attacken beobachtet und analysiert und dabei über 700 infizierte Server gefunden. Sie geben an, dass die Angreifer mittlerweile Monero im Wert von 226.000 US-Doller geschürft haben sollen.

Für die Attacken sollen die Angreifer den Proof-of-Concept-Code des Entdeckers der Lücke missbrauchen. Die Attacke soll vergleichsweise einfach auszuführen sein. Mit dem Exploit soll man verwundbare Server im Internet leicht entdecken können, führt das SANS Technology Institut aus.

Befallenen Server erkennen

Den Sicherheitsforschern zufolge kann man infizierte Server an einer hohen CPU-Last festmachen, da Mining-Software viele Ressourcen einfordert. Zudem kann man einen Übergriff daran erkennen, dass der Java-Prozess abgeschossen wurde. Dafür soll das Skript der Angreifer zum Abwerfen des Monero-Miners verantwortlich sein.

In puncto der Absicherung von befallenen Servern warnen die Sicherheitsforscher davor, dass es meist mit einer Installation des Oracle-Patches nicht getan ist: Das sperre Angreifer zwar aus, aufgrund der vergleichsweise einfach auszunutzenden Lücke könnten sich jedoch zusätzlich andere Angreifer im System verankert haben. Admins sollten anfällige Server also genaustens untersuchen. (des)