Laravel Server von 2018 durch Androxgh0st Botnetz bedroht
Table of Contents
Das “Androxgh0st” Malware-Botnetz ist ein ernstzunehmendes Sicherheitsrisiko, das derzeit von der FBI und dem Cybersecurity and Infrastructure Security Agency (CISA) untersucht wird. Dieses Botnetz konzentriert sich auf den Diebstahl von Cloud-Anmeldeinformationen, insbesondere von AWS und Microsoft Office 365, und verwendet die gestohlenen Informationen, um weitere schädliche Lasten zu verteilen.
Die Malware zielt auf .env-Dateien ab, die Benutzerdaten für AWS, Microsoft Office 365, SendGrid und Twilio enthalten. Nachdem diese Anmeldeinformationen gescannt und ausgenutzt wurden, kann Androxgh0st auch dazu verwendet werden, Web-Shells zu implementieren, Code aus der Ferne auszuführen, sensible Daten zu stehlen und sogar neue AWS-Benutzer und -Instanzen zu erstellen.
Androxgh0st nutzt eine Reihe alter, bereits behobener Sicherheitslücken aus, darunter CVE-2017-9841, eine Befehlsinjektionsanfälligkeit in PHPUnit; CVE-2018-15133, eine unsichere Deserialisierungsschwachstelle im Laravel-Webanwendungsframework, die zu einer Remote-Code-Ausführung führen kann; und CVE-2021-41773, eine Pfadumgehungsschwachstelle im Apache HTTP Server, die ebenfalls zur Remote-Code-Ausführung führt.
Zu den Empfehlungen für Gegenmaßnahmen gehören die Aktualisierung aller Betriebssysteme, Software und Firmware, insbesondere die Aktualisierung anfälliger Apache-Serverversionen. Organisationen sollten außerdem URLs so konfigurieren, dass standardmäßig alle Anfragen abgelehnt werden, es sei denn, ein spezifischer Zugriff ist erforderlich, um unnötige Exposition zu reduzieren. Darüber hinaus wird empfohlen, Laravel-Anwendungen sicher zu konfigurieren und alle in .env-Dateien gespeicherten Cloud-Anmeldeinformationen zu überprüfen und zu widerrufen.
Die FBI und CISA betonen die Notwendigkeit einer erhöhten Wachsamkeit bezüglich Laravel-Anwendungen. Es wird empfohlen, regelmäßig Server auf unbekannte PHP-Dateien zu scannen und ausgehende GET-Anfragen zu überwachen, insbesondere solche, die auf externe Datei-Hosting-Websites zugreifen. Organisationen, die verdächtige Aktivitäten im Zusammenhang mit Androxgh0st-Malware feststellen, sollten diese Informationen mit dem FBI teilen.
Von Androxgh0st betroffene Anwendungen
ie Androxgh0st-Malware zielt auf spezifische Schwachstellen in bestimmten Serverversionen ab, um ein Botnetz aufzubauen. Die betroffenen Server und deren anfällige Versionen sind:
- Apache HTTP Server: Die Versionen 2.4.49 und 2.4.50 des Apache HTTP Servers sind aufgrund der Schwachstelle CVE-2021-41773 anfällig. Diese Schwachstelle ermöglicht Pfadumgehung und Remote-Code-Ausführung.
- Laravel-Anwendungen: Laravel-Webanwendungsframeworks in den Versionen bis einschließlich 5.5.40, sowie in den Versionen 5.6.0 bis einschließlich 5.6.29 sind anfällig für die Schwachstelle CVE-2018-15133. Diese Schwachstelle ermöglicht Remote-Code-Ausführung durch unsichere Deserialisierung.
- PHPUnit: Eine Schwachstelle (CVE-2017-9841) in PHPUnit, einem beliebten PHP-Testframework, ermöglicht eine Befehlsinjektion und Remote-Code-Ausführung durch einen bösartigen HTTP POST-Request.