Laravel Server von 2018 durch Androxgh0st Botnetz bedroht

Table of Contents

Das “Androxgh0st” Malware-Botnetz ist ein ernstzunehmendes Sicherheitsrisiko, das derzeit von der FBI und dem Cybersecurity and Infrastructure Security Agency (CISA) untersucht wird. Dieses Botnetz konzentriert sich auf den Diebstahl von Cloud-Anmeldeinformationen, insbesondere von AWS und Microsoft Office 365, und verwendet die gestohlenen Informationen, um weitere schädliche Lasten zu verteilen.

Die Malware zielt auf .env-Dateien ab, die Benutzerdaten für AWS, Microsoft Office 365, SendGrid und Twilio enthalten. Nachdem diese Anmeldeinformationen gescannt und ausgenutzt wurden, kann Androxgh0st auch dazu verwendet werden, Web-Shells zu implementieren, Code aus der Ferne auszuführen, sensible Daten zu stehlen und sogar neue AWS-Benutzer und -Instanzen zu erstellen.

Androxgh0st nutzt eine Reihe alter, bereits behobener Sicherheitslücken aus, darunter CVE-2017-9841, eine Befehlsinjektionsanfälligkeit in PHPUnit; CVE-2018-15133, eine unsichere Deserialisierungsschwachstelle im Laravel-Webanwendungsframework, die zu einer Remote-Code-Ausführung führen kann; und CVE-2021-41773, eine Pfadumgehungsschwachstelle im Apache HTTP Server, die ebenfalls zur Remote-Code-Ausführung führt.

Zu den Empfehlungen für Gegenmaßnahmen gehören die Aktualisierung aller Betriebssysteme, Software und Firmware, insbesondere die Aktualisierung anfälliger Apache-Serverversionen. Organisationen sollten außerdem URLs so konfigurieren, dass standardmäßig alle Anfragen abgelehnt werden, es sei denn, ein spezifischer Zugriff ist erforderlich, um unnötige Exposition zu reduzieren. Darüber hinaus wird empfohlen, Laravel-Anwendungen sicher zu konfigurieren und alle in .env-Dateien gespeicherten Cloud-Anmeldeinformationen zu überprüfen und zu widerrufen.

Die FBI und CISA betonen die Notwendigkeit einer erhöhten Wachsamkeit bezüglich Laravel-Anwendungen. Es wird empfohlen, regelmäßig Server auf unbekannte PHP-Dateien zu scannen und ausgehende GET-Anfragen zu überwachen, insbesondere solche, die auf externe Datei-Hosting-Websites zugreifen. Organisationen, die verdächtige Aktivitäten im Zusammenhang mit Androxgh0st-Malware feststellen, sollten diese Informationen mit dem FBI teilen.

Von Androxgh0st betroffene Anwendungen

ie Androxgh0st-Malware zielt auf spezifische Schwachstellen in bestimmten Serverversionen ab, um ein Botnetz aufzubauen. Die betroffenen Server und deren anfällige Versionen sind:

  1. Apache HTTP Server: Die Versionen 2.4.49 und 2.4.50 des Apache HTTP Servers sind aufgrund der Schwachstelle CVE-2021-41773 anfällig. Diese Schwachstelle ermöglicht Pfadumgehung und Remote-Code-Ausführung.
  2. Laravel-Anwendungen: Laravel-Webanwendungsframeworks in den Versionen bis einschließlich 5.5.40, sowie in den Versionen 5.6.0 bis einschließlich 5.6.29 sind anfällig für die Schwachstelle CVE-2018-15133. Diese Schwachstelle ermöglicht Remote-Code-Ausführung durch unsichere Deserialisierung.
  3. PHPUnit: Eine Schwachstelle (CVE-2017-9841) in PHPUnit, einem beliebten PHP-Testframework, ermöglicht eine Befehlsinjektion und Remote-Code-Ausführung durch einen bösartigen HTTP POST-Request.

Related Posts

Kritische Sicherheitslücke CVE-2023-7027: Wordpress SMTP Mailer jetzt patchen

Die Sicherheitslücke CVE-2023-7027 betrifft das WordPress-Plugin “POST SMTP Mailer – Email log, Delivery Failure Notifications and Best Mail SMTP”. Diese Schwachstelle ermöglicht es, über das ‘device’-Header in allen Versionen bis einschließlich 2.8.7 Cross-Site-Scripting-Angriffe (XSS) durchzuführen. Diese Angriffe könnten von unautorisierten Angreifern genutzt werden, um willkürliche Web-Skripte in Seiten einzuschleusen, die dann ausgeführt werden, sobald ein Benutzer eine manipulierte Seite besucht. Die Schwachstelle wurde aufgrund unzureichender Eingabevalidierung und mangelnder Ausgabeabsicherung identifiziert. Benutzer des Plugins sollten sicherstellen, dass sie auf eine Version aktualisieren, die diesen Fehler behebt.

Read More

Hacker Techniken: Out of Band Data Extraction

“Out of Band Data Extraction” ist eine Technik, die typischerweise in der Cybersicherheit und insbesondere im Kontext von SQL-Injection-Angriffen verwendet wird. Bei dieser Methode werden Daten aus einer Datenbank auf eine Weise extrahiert, die nicht der normalen Kommunikation zwischen Client und Server entspricht, also “außerhalb des üblichen Kanals” (Out of Band). Diese Technik wird oft eingesetzt, wenn direkte Methoden der Datenextraktion (wie etwa die Rückgabe von Ergebnissen in einer HTTP-Antwort) nicht möglich sind.

Read More

Schwachstelle in Sharepoint erlaubt Hacker Root Zugriff

Die aktuelle Schwachstelle in Microsoft SharePoint, bekannt als CVE-2023-29357, ist eine ernsthafte Bedrohung, die von der Cybersecurity and Infrastructure Security Agency (CISA) in ihrem Katalog bekannter ausgenutzter Schwachstellen aufgeführt wurde. Diese Schwachstelle ermöglicht es einem Angreifer, durch Ausnutzung gefälschter JWT-Authentifizierungstoken einen Netzwerkangriff durchzuführen, der eine Authentifizierung umgeht und Zugriff auf die Privilegien eines authentifizierten Benutzers gewährt. Für diese Ausnutzung sind weder Benutzeraktionen noch spezielle Privilegien erforderlich.

Read More