Comp4U Ladeanimation

Linux: Erste Angriffe auf NAS-Boxen durch SMB-Hintertür beobachtet

Die schon seit längerem bekannte Sicherheitslücke namens Samba Cry wird offenbar von einer neuen Malware ausgenutzt um verwundbare NAS anzugreifen.

Für die meisten Linux-Distributionen gibt es bereits Updates, welche die vor knapp einem Monat bekannt gewordene Schwachstelle Samba Cry repatiert. Nun ist aber von der Sicherheitsfirma TrendMicro eine neue Malware namens Elf_Shellbind.A entdeckt worden, die speziell auf NAS-Boxen abzielt. Diese Boxen benutzen meist eine Embedded-Version von Linux, welche von den Herstellern und Benutzern meist nur unregelmäßig upgedated werden.

Zweck des Angriffs noch unbekannt

Anders als die zuerst entdeckte Malware, die die Sicherheitslücke dazu ausnutzte um auf den infizierten System die Kryptowährung Monero zu schürfen, sendet diese Malware Informationen über das gekaperte System an einen vermeidlichen Command-and-Control Server mit der IP-Adresse 69.239.128.123 und ändert die Iptable-Regeln so, dass eine Verbindung über den Port 61422 aus der Ferne möglich wird. Hierdurch erhält der Angreifer Zugriff auf die Shell und somit die volle Kontrolle über das infizierte System. Was genau die Angreifer mit den erbeuteten Systemen vorhaben, erwähnt TrendMicro zwar nicht, an kriminellen Möglichkeiten mangelt es aber nicht.

Mögliche Gegenmaßnahmen

Die Benutzer der betroffenen NAS-Boxen sollten, falls es noch kein Update für das Gerät gibt, unbedingt beim Hersteller anfragen. In der Konfigurationsdatei des Samba-Servers lassen sich über die Option „veto files“ Dateien mit bestimmten Endungen blockieren. Da die neue Malware bei der Infizierung eine Datei mit der Endung .so anlegt, könnte diese Maßnahme einen ersten wirksamen Schutz bieten. Öffentliche Ordner ohne Passwortschutz sollten zudem, falls nicht unbedingt nötig, nicht über das Internet erreichbar sein. Außerdem können die genannte IP-Adresse des Command-and-Control-Servers und ein geöffneter Port 61422 als Indiz für eine mögliche Infizierung dienen. Es ist allerdings nicht auszuschließen, dass sich diese in zukünftigen Versionen der Malware ändern könnten.

Comp4U bietet Ihnen EDV-Beratung zu Sicherheitsthemen und zu allen anderen aktuellen Aufgaben in der Unternehmens-IT. Unsere sympathischen Mitarbeiter informieren Sie gerne - nutzen Sie unser Angebot und rufen Sie uns gleich an: 06103-9707-90. Wir machen Sie sicher.