Check Point warnt vor FreakOut

Neuer Angriff bedroht TerraMaster TOS, Zend und Liferay Portal

21. Januar 2021, 08:30 Uhr   |  Wilhelm Greiner

Neuer Angriff bedroht TerraMaster TOS, Zend und Liferay Portal
© Wolfgang Traub

Die Sicherheitsforscher von Check Point warnen Anwender von TerraMaster TOS, Zend oder Liferay Portal eindringlich, ihre Systeme umgehend zu aktualisieren. Denn es laufe derzeit ein weltweiter Angriff gegen veraltete Versionen. Ziel sei es, ein neues Bot-Netz zu schaffen, so Check Point. Der Angriff nehme speziell Linux-Anwender ins Visier.

Die Sicherheitsforscher von Check Point sind laut eigenem Bekunden einen groß angelegten Angriff gegen eine Reihe von Frameworks auf die Schliche gekommen: Mit der neuartigen Malware FreakOut versuche ein Hacker (oder eine Hackergruppe), zahlreiche Systeme zu infiltrieren, um ein Bot-Netz aufzubauen. Dabei nutze die Angreiferseite eine kürzlich entdeckte Schwachstelle, um sich Zugang zu diesen Systemen zu verschaffen.

Betroffen seien die folgenden Umgebungen: TerraMaster TOS (TerraMaster Operating System), ein Anbieter von Datenspeichergeräten, Zend Framework, eine beliebte Sammlung von Bibliothekspaketen für die Erstellung von Web-Apps, sowie Liferay Portal, ein freies und quelloffenes Unternehmensportal mit Funktionen zur Web-Entwicklung. Wer seine Systeme noch nicht auf den neuesten Stand gebracht hat, so der Security-Anbieter, mache sich angreifbar und sollte umgehend die aktuellen Patches installieren.

Die Forscher melden, man habe bislang 185 infizierte Systeme entdeckt und weltweit bereits über 380 dieser Angriffe vereitelt, 13 davon in Deutschland. Am heftigsten unter Beschuss stünden derzeit die USA mit über einem Viertel aller Angriffe. Verantwortlich für die Welle sei ein altbekannter Hacker, der unter Pseudonymen wie Fl0urite und Freak agiert. Dessen Identität sei aber bisher nicht zu ermitteln.

Die Infektionskette von FreakOut.
© Check Point

Die Infektionskette von FreakOut.

Die Infektionskette sieht laut den Sicherheitsfachleuten wie folgt aus: Der Angreifer beginnt mit der Installation von Malware über die Ausnutzung der drei Sicherheitslücken: CVE-2020-28188, CVE-2021-3007 und CVE-2020-7961. Anschließend lädt er ein Python-Skript auf die kompromittierten Geräte, führt es aus, installiert den Kryptowährungs-Miner XMRig und bewegt sich per Ausnutzung der Sicherheitslücken weiter durch das Netzwerk. Hat er Systeme infiziert, kann er Port-Scans durchführen, Informationen sammeln, das Netzwerk durchsuchen oder einen DDoS-Angriff starten.

Der Angriff nutzt zwar Schwachstellen von PHP und Java aus, nimmt aber laut Check-Point-Angaben konkret Linux-Systeme ins Visier: „Diese Angriffskampagne zielt speziell auf Linux-Server ab, da die Malware für die Ausführung auf Linux-Systemen angepasst und geschrieben wurde“, so Check Point auf Rückfrage der LANline.

„Der Akteur hinter dieser Kampagne ist ein sehr erfahrener Hacker und daher hochgefährlich,“ warnt Christine Schönig, Regional Director Security Engineering CER im Office of the CTO bei Check Point. Sie rät deshalb betroffenen Anwendern dringend, die verwundbaren Frameworks umgehend zu aktualisieren.

Die kompletten Erkenntnisse zu FreakOut finden sich unter https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Check Point Software Technologies GmbH

Malware

Cyberangriff