Krypto-Miner: Angreifer suchen verwundbare Apache NiFi-Instanzen
Das Internet Storm Center hat Scans nach Apache NiFi-Instanzen entdeckt. Im Honeypot haben sie einen Angreifer beobachtet, wie er Krypto-Miner installierte.
(Bild: Tobias Arhelger / Shutterstock.com)
Die IT-Sicherheitsexperten vom Internet Storm Center (ISC) des SANS Institute haben vermehrte Scans auf verwundbare Apache NiFi-Instanzen beobachtet. Mit einem zügig eingerichteten Honeypot konnten sie dabei zuschauen, wie die Angreifer sich einnisteten und Krypto-Miner installierten. Die Cyberkriminellen versuchten auch, sich weiter im Netz auszubreiten.
Apache NiFi: Schwachstelle "RTFM nicht befolgt"
Apache NiFi dient der Datenflussautomatisierung, um etwa im Rahmen einer Big-Data-Plattform Daten aus unterschiedlichen Quellen und in unterschiedlichen Formaten aufzubereiten und zusammenzuführen. Wie die IT-Forscher des ISC in ihrer Analyse ausführen, versuchen die Angreifer nicht, eine konkrete Sicherheitslücke zu missbrauchen. Sie setzen darauf, dass die verwundbaren Systeme im Internet erreichbar und nicht mit Passwort versehen oder anderweitig geschützt sind.
Mindestens ein bösartiger Akteur scanne das Internet aktiv nach solchen ungeschützten NiFi-Instanzen ab. Der beobachtete Angreifer hat einen Krypto-Miner installiert, der die Rechenkraft des Servers zum Schürfen digitaler Währungen missbraucht. Zudem durchsuchte er die Server nach SSH-Zugangsdaten, um sich im Netzwerk weiter fortzubewegen.
Um sich nachhaltig in ein befallenes System einzunisten, ergänzen der oder die Angreifer zeitgesteuerte Prozessoren – so heißen Anweisungen zum Manipulieren der durchgereichten Daten in NiFi. Auch Einträge in der cron-Tabelle legen sie an. Das Skript für den Angriff landet hingegen nicht auf der Platte, sondern bleibt lediglich im Speicher.
Angreifer können auf einem verwundbaren, fehlkonfigurierten System auf sämtliche Daten zugreifen, die NiFi verarbeitet. Zudem können sie die NiFi-Konfiguration lesen, verändern oder löschen. Eine Empfehlung für IT-Verantwortliche, die Apache NiFi einsetzen, formuliert das ISC so: "Um euch zu schützen: Lest die verdammte Anleitung (RTFM). Die NiFi-Dokumentation beschreibt den Prozess zum Setzen eines Passworts klar und einfach".
In ihrer Analyse erläutern die ISC-Forscher ausführlich, wie sie nach Bemerken der Angriffe einen Honeypot aufgesetzt und ihn beobachtet haben. Sie nehmen auch die vorgefundenen Skripte auseinander und liefern Hinweise, wie Angriffe aufzuspüren sind. Sie sammeln auch Indizien für einen Befall (Indicators of Compromise, IOCs) wie Netzwerk-Adressen oder Hashwerte zu den eingesetzten Skripten.
In der Vergangenheit hatten die Entwickler Apache NiFi bei Aktualisierungen auch mit Verbesserungen bei der Sicherheit ausgestattet.
(dmk)
