Foto: Skorzewiak - shutterstock.com
Das Security-Intelligence-Team von Microsoft hat herausgefunden, dass die Drahtzieher des Sysrv-Botnets jetzt Sicherheitslücken im Spring Framework und WordPress ausnutzen, um Windows- und Linux-Server zu kompromittieren. "Die neue Variante, die wir Sysrv-K nennen, verwendet zusätzliche Exploits und kann die Kontrolle über Webserver erlangen", warnen die Forscher in ihrem Tweet.
So funktioniert das Sysrv-Botnet
Nach Angaben der Sicherheitsspezialisten ist das Sysrv-Botnet dafür bekannt, gezielt nach Schwachstellen in Web-Apps und Datenbanken zu suchen, um Windows- und Linux-Systeme mit Cryptomining-Malware zu infizieren. Wie ältere Varianten scannt Sysrv-K das Internet nach SSH-Schlüsseln, IP-Adressen und Hostnamen, um sich mit weiteren Systemen zu verbinden und Kopien von sich selbst zu installieren, erklären die Microsoft-Forscher. Dadurch bestehe die Gefahr, dass auch der Rest eines Netzes Teil des Sysrv-K-Botnets wird.
Die dabei ausgenutzten Sicherheitslücken reichen, so die Security-Eperten, von Path Traversal und Remote File Disclosure bis hin zu Arbitrary File Download und Remote-Code-Execution-Schwachstellen. Ferner würden die Angreifer nun auch speziell nach WordPress-Konfigurationsdateien und deren Sicherungen suchen, um die Anmeldeinformationen der Datenbanken abzurufen. Zudem verfüge die neue Botnet-Version über aktualisierte Kommunikationsfunktionen. Dazu gehöre etwa die Möglichkeit, einen Telegram-Bot zu verwenden.
We encountered a new variant of the Sysrv botnet, known for exploiting vulnerabilities in web apps and databases to install coin miners on both Windows and Linux systems. The new variant, which we call Sysrv-K, sports additional exploits and can gain control of web servers.
— Microsoft Security Intelligence (@MsftSecIntel) May 13, 2022
Die Microsoft-Security-Experten raten Unternehmen dringend, ihre Systeme mit Internetzugang zügig mit Sicherheits-Updates zu versorgen. Zudem sollten sie ihre Zugriffe sichern.