Krypto-Miner schleicht sich auf Jenkins-Server und macht 3 Millonen US-Dollar

Eine Sicherheitslücke in Jenkins aus 2017 ist im Visier von Angreifern. Wer das System einsetzt, sollte sicherstellen, die aktuelle Version installiert zu haben.

Derzeit attackieren unbekannten Angreifer erfolgreich Jenkins-Server, um dort einen Krypto-Miner zu hinterlegen und Monero zu schürfen. Das soll ihnen bislang 3 Millionen US-Dollar eingebracht haben, schildern Sicherheitsforscher von Check Point.

Als Schlupfloch sollen die Angreifer eine kritische Sicherheitslücke (CVE-2017-1000353) im kontinuierlichen Integrationssystem ausnutzen. Diese ist schon länger bekannt und die Entwickler haben bereits im Mai 2017 ein Sicherheitsupdate bereitgestellt. Wer es noch nicht installiert hat, sollte dies jetzt tun.

Die Schwachstelle klafft in der Kommandozeile (CLI) von Jenkins. An dieser sollen Angreifer aus der Ferne ohne Authentifizierung ansetzen können. In diesem Fall gelingt dies über zwei direkt hintereinander folgenden präparierten Anfragen an das CLI-Interface. Aufgrund einer fehlenden Überprüfung können die Angreifer ihren Schadcode in das System bringen und das Open-Source-Mining-Tool XMRig starten.

Das Schürfen soll vom Opfer unbemerkt im Hintergrund geschehen. Ganz verborgen geht das jedoch nicht vonstatten: Schließlich fordert Mining viel Rechenleistung ein und spätestens wenn ein System behäbig reagiert, sollte man Misstrauen hegen und genau hinschauen. Der Schadcode soll Routinen mitbringen, um Sicherheitsanwendungen zu verwirren.

Derartige Angriffe sollen seit einigen Monaten weltweit stattfinden, führt Check Point aus. Der Miner laufe auf verschiedenen Plattformen wie Windows. Die Kampagne soll gut organisiert und beaufsichtigt sein.

Das heimliche Schürfen von Krypto-Währung auf verschiedenen Wegen ist derzeit ein lukrativer Trend in der Malwareszene. So missbrauchen Kriminelle XMRig schon länger, um auf Millionen PCs Kryptowährung zu scheffeln. Anfang 2018 kam es zu Übergriffen auf Oracle-Server. Sogar Googles Werbeplattform DoubleClick wurde für Krpyto-Mining missbraucht. Zudem überlegen sich Betrüger neben dem Schürfen im Webbrowser immer neue Methoden für heimliches Schürfen. Diesen Trend erkennen auch Anbieter von Sicherheits-Software und bieten entsprechende Lösungen an.

2018-02-21T15:24:23+00:00