Kubernetes: Kryptomining auf ungesicherten Tesla-Cloud-Diensten
Tesla hat einen Kubernetes-Pod ohne Kennwortschutz laufen lassen - und sich damit Kryptomining-Malware eingefangen. Derzeit wird außerdem eine Sicherheitslücke in Jenkins-Servern für eine weitere Kampagne ausgenutzt.
Die Sicherheitsfirma Redlock hat unerlaubtes Kryptomining auf einem von Tesla angemieteten Cloud-Dienst festgestellt. Der Vorfall ist auf ungenügende Sicherheitsmaßnahmen bei dem Autobauer zurückzuführen, ein Kubernetes-Interface zur Verwaltung von Containern war ohne Passwortschutz über das Netz zu erreichen.
Über den Kubernetes-Pod konnten die Kriminellen Zugangsdaten für weitere von Tesla gemietete Cloud-Dienste erlangen, etwa für ein Amazon-AWS-S3-Bucket. In dem Bucket fanden sich Telemetriedaten von Tesla-Fahrzeugen. Nach Angaben des Unternehmens soll es sich bei den betroffenen Autos um Testfahrzeuge von Tesla selbst handeln - Kundendaten sollen demnach nicht betroffen sein.
Die Angreifer haben den Angaben von Redlock zufolge auf dem Kubernetes-Pod eine Mining-Pool-Software installiert, die sich mit einem bis dato unbekannten Endpunkt verbunden hat. Daher kann der Angriff nicht so leicht entdeckt werden wie bei bekannten Kryptomining-IPs. Auch wurden die Systeme offenbar bewusst nicht voll ausgelastet, um den Angriff zu tarnen.
Nach einer Mitteilung soll Tesla die Systeme umgehend abgesichert haben. Das Unternehmen sagte Ars Technica: "Wir betreiben ein Bug-Bounty-Programm, um genau diese Art von Forschung zu fördern und wir haben die Schwachstelle nach Kenntnisnahme innerhalb weniger Stunden beseitigt."
Auch Jenkins-Server betroffen
Nach Angaben der Sicherheitsfirma Check Point wird aktuell außerdem eine Schwachstelle in Jenkins-Servern genutzt, um Kryptomining zu betreiben. Dabei wird eine bekannte Java-Deserialisierungslücke (CVE-2017-1000353) ausgenutzt, um einen Remote-Access-Trojaner (RAT) und den Xmrig-Miner zu installieren. Infektionen mit der Malware seien auch auf zahlreichen Windows-PCs festgestellt worden, schreibt Checkpoint.
Die Gewinne aus diesen Mining-Operationen wurden offenbar an nur eine Monero-Wallet gesendet. Demnach beträgt der Profit der Aktion nach aktuellem Kurs bislang etwa 3 Millionen US-Dollar.
Das liegt halt dran das Computer 100% genau das machen was man ihnen sagt. Das ist halt...