Microsoft warnt vor einer neuen Variante des srv-Botnetzes, die mehrere Sicherheitslücken in Webanwendungen und Datenbanken ausnutzt, um Münzschürfer auf Windows- und Linux-Systemen zu installieren.
Der Tech-Gigant hat die neue Version Sysrv-K genannt und behauptet, dass sie eine Reihe von Sicherheitslücken ausnutzt, um die Kontrolle über Webserver zu erlangen. Das Kryptojacking-Botnetz tauchte erstmals im Dezember 2020 auf.
„Sysrv-K scannt das Internet, um Webserver mit verschiedenen Schwachstellen zu finden und sich selbst zu installieren“, erklärte das Unternehmen in einer Reihe von Tweets. „Die Schwachstellen reichen von Path Traversal und Remote File Disclosure bis hin zu Arbitrary File Download und Remote Code Execution Schwachstellen“.
Dazu gehört auch CVE-2022-22947 (CVSS-Score: 10.0), eine Code-Injection-Schwachstelle in Spring Cloud Gateway, die ausgenutzt werden kann, um über eine böswillig gestaltete Anfrage eine beliebige Remote-Ausführung auf einem entfernten Host zu ermöglichen.
Es ist erwähnenswert, dass der Missbrauch von CVE-2022-22947 die U.S. Cybersecurity and Infrastructure Security Agency dazu veranlasst hat, die Schwachstelle in ihren Known Exploited Vulnerabilities Catalog aufzunehmen.
Das Hauptunterscheidungsmerkmal ist, dass Sysrv-K nach WordPress-Konfigurationsdateien und deren Backups scannt, um an Datenbankzugangsdaten zu gelangen, die dann zum Hijacken von Webservern verwendet werden. Es heißt auch, dass er seine Kommunikationsfunktionen aufgerüstet hat, um einen Telegram-Bot zu nutzen.
Sobald er infiziert ist, kann er sich mit Hilfe von SSH-Schlüsseln, die auf dem Rechner des Opfers verfügbar sind, auf andere Systeme ausbreiten und das Botnetz vergrößern, wodurch das gesamte Netzwerk gefährdet wird.
„Die Sysrv-Malware nutzt bekannte Schwachstellen aus, um ihre Cryptojacking-Malware zu verbreiten“, stellten die Forscher von Lacework Labs letztes Jahr fest. „Um zu verhindern, dass opportunistische Angreifer die Systeme kompromittieren, ist es wichtig, dass öffentlich zugängliche Anwendungen mit den neuesten Sicherheits-Patches aktualisiert werden.
Neben der Absicherung von Servern, die dem Internet ausgesetzt sind, rät Microsoft Unternehmen außerdem, Sicherheitsupdates rechtzeitig einzuspielen und die Anmeldehygiene zu verbessern, um das Risiko zu verringern.