2018-09-20 06:53:14

“Most Wanted Malware“- Analyse für Jul

Angriffe auf IoT nehmen zu: Check Point Software Technologies veröffentlichte seinen neuesten Global Threat Index für Juli 2018. Deutlich wird dabei die Zunahme vom drei wesentliche IoT-Sicherheitslücken. Angriffe, die mit IoT-Malware wie Mirai, IoTroop/Reaper und VPNFilter in Zusammenhang stehen, haben sich seit Mai 2018 mehr als verdoppelt.

Im Juli 2018 haben drei IoT-Schwachstellen die Top-10-Liste der größten Exploits erreicht:

  • MVPower DVR router Remote Code Execution auf Platz #5;  
  • D_Link DSL-2750B router Remote Command Execution auf Platz #7
  • und Dasan GPON router Authentication Bypass auf Platz #10.

Insgesamt waren 45 Prozent aller Organisationen weltweit von Angriffen auf diese Sicherheitslücken betroffen, im Vergleich zu 35 Prozent im Juni 2018 und 21 Prozent im Mai dieses Jahres. All diese Sicherheitslücken ermöglichen es Angreifern, bösartigen Code auszuführen und Remote-Kontrolle über die Zielgeräte zu erlangen.

„Bekannte Sicherheitslücken bieten Cyber-Kriminellen einen einfachen Einstiegspunkt in Unternehmensnetzwerke und ermöglichen ihnen so, unterschiedlichste Angriffe zu verbreiten“, erläutert Maya Horowitz, Threat Intelligence Group Manager bei Check Point. „Insbesondere IoT-Schwachstellen stellen oft den ‚Weg des geringsten Widerstands‘ dar, denn sobald ein Gerät kompromittiert wurde, können andere vernetzte Geräte ohne Umschweife direkt infiltriert werden. Daher ist es extrem wichtig, dass Unternehmen Patches für bekannte Sicherheitslücken installieren, sobald sie zur Verfügung stehen. So kann gewährleistet werden, dass Netzwerke weiterhin gesichert sind“, ergänzt Horowitz.

Coinhive ist nach wie vor die häufigste Malware, von der weltweit 19 Prozent der Organisationen betroffen sind. Cryptoloot und Dorkbot folgen auf Platz zwei bzw. drei, beide mit weltweiten Auswirkungen auf 7 Prozent der Unternehmen.

Die Top 3 der ‘Most Wanted’ Malware im Juli:

*Die Pfeile beziehen sich auf die Veränderung in der Rangliste verglichen mit dem Vormonat.

  1. ↔ Coinhive - - Cryptominer zum Schürfen der Kryptowährung Monero online, ohne Wissen oder Zustimmung des Nutzers,  sobald dieser eine verseuchte Internetseite besucht. Das eingebettete JavaScript nutzt einen Großteil der Rechnerressourcen von Maschinen der Endnutzer und könnte für einen Systemausfall sorgen. 
  2. ↔ Cryptoloot - Crypto-Miner, der die CPU- oder GPU-Leistung des Opfers sowie vorhandene Ressourcen nutzt, indem er Transaktionen zur Blockchain hinzufügt und neue Währung freigibt. Ein Konkurrent von Coinhive, der versucht, ihm das Wasser abzugraben, indem er einen geringeren Umsatzanteil von den Webseiten verlangt. 
  1. ↔ Dorkbot IRC-basierter Wurm, der Remote-Code-Ausführung durch seinen Betreiber zulassen soll sowie den Download zusätzlicher Malware auf das infizierte System. Es handelt sich um einen Banking-Trojaner mit der primären Motivation, sensible Daten zu stehlen und Denial-of-Service-Angriffe zu starten. 

Check Points Forscher analysierten auch die am häufigsten ausgenutzten Cyber-Sicherheitslücken. An erster Stelle stand CVE-2017-7269, mit weltweiten Auswirkungen von 47 Prozent. Zweite war CVE-2017-5638, von der weltweit 42 Prozent betroffen waren, dicht gefolgt von OpenSSL TLS DTLS Heartbeat Information Disclosure, die global 41 Prozent aller Organisationen kompromittierte.

Die Top 3 der “Most Wanted” Schwachstellen im Juli:

  1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) - Ein Angreifer könnte durch Versenden einer manuellen Anfrage über ein Netzwerk an den Microsoft Windows Server 2003 R2 mithilfe der Microsoft Internet Information Services 6.0 einen beliebigen Code aus der Ferne ausführen oder auf dem Zielserver eine Denial-of-Service-Situation herbeiführen. Dies ist hauptsächlich auf eine Sicherheitslücke im Pufferüberlauf zurückzuführen, die durch ungenaue Validierung eines langen Headers in der http-Abfrage entstanden ist. 
  2. ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) - In Apache Struts2, das einen Jakarta-Multipar-Parser nutzt, besteht eine Remote-Code-Execution-Lücke. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er einen ungültigen Content-Typ als Teil einer Aufforderung zum Datei-Upload versendet. Die erfolgreiche Ausnutzung erlaubt auf dem betroffenen System die Ausführung von beliebigem Code.
  3. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - In OpenSSL besteht eine Sicherheitslücke bei der Offenlegung von Informationen. Die Schwachstelle besteht aufgrund eines Fehlers im Umgang mit TLS/DTLS-Heartbeat-Paketen. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Speicherinhalte eines vernetzten Clients oder Servers offenzulegen.

mat

Druckversion

Zum Thema