• IT-Karriere:
  • Services:

Mikrotik: Proxy-Server fügen Kryptominer ein

Gehackte Proxy-Server der Firma Mikrotik, die von Internet-Zugangsprovidern genutzt werden, fügen Kryptominer-Code in unverschlüsselte HTTP-Anfragen ein. Die entsprechende Lücke wurde bereits im März behoben, doch weiterhin sind hunderte Proxies aktiv.

Artikel veröffentlicht am , Hanno Böck
Wenn der Prozessor beim Aufruf von Webseiten unerwartet heiß läuft, ist möglicherweise ein Kryptominer aktiv.
Wenn der Prozessor beim Aufruf von Webseiten unerwartet heiß läuft, ist möglicherweise ein Kryptominer aktiv. (Bild: Marcus Obal, Wikimedia Commons/CC-BY-SA 3.0)

Zahlreiche Internetnutzer werden beim Surfen heimlich auf Seiten weitergeleitet, die ihre Prozessorleistung missbrauchen, um Kryptowährungen zu erzeugen. Verantwortlich dafür sind gehackte Proxy-Server der Firma Mikrotik.

Stellenmarkt
  1. DENIC Services GmbH & Co. KG, Darmstadt
  2. finanzen.de, Berlin

Auf das Problem machte uns der Golem.de-Leser und Softwareentwickler Max Schmitt aufmerksam. Er beobachtete bei seinen Internetverbindungen über den Provider TKN Deutschland, einem lokalen Provider aus Bayern, dass einzelne HTTP-Verbindungen Kryptomining-Code ausführten.

HTTP-Verbindungen laden Javascript-Kryptominer nach

Dabei wird die Verbindung so manipuliert, dass die eigentliche Webseite in einem Iframe dargestellt wird. Gleichzeitig wird eine Javascript-Datei geladen. Diese sorgt dann dafür, dass auf dem Rechner des Nutzers Berechnungen zur Erzeugung von Kryptowährung durchgeführt werden.

Die Verbindungen wurden bei TKN offenbar transparent über einen Proxy-Server geleitet. Golem.de konnte das Problem nachstellen, da der Proxy auch aus dem öffentlichen Internet erreichbar war. Besonders subtil gingen die Angreifer dabei nicht vor: Sekunden nach dem Seitenaufruf war das System vollständig ausgelastet und der CPU-Lüfter machte sich bemerkbar.

Max Schmitt hatte TKN bereits Mitte September auf dieses Problem hingewiesen. Daraufhin wurde es wohl zeitweise behoben, trat vor wenigen Tagen aber erneut auf.

Doch TKN ist nicht der einzige betroffene Provider. Einem Blogpost der Webseite Bad Packets Report zufolge waren Ende September weltweit über 200.000 Geräte von Mikrotik mit Kryptominer-Malware versehen.

Wir haben selbst nach entsprechenden Geräten gesucht und in Deutschland mehrere Hundert betroffene Proxy-Server gefunden. Sie verteilen sich über zahlreiche Provider. Wir haben die Liste der betroffenen IP-Adressen an das CERT Bund weitergegeben, das CERT will die betroffenen Provider entsprechend informieren.

Sicherheitslücke in Mikrotik-Produkten seit März behoben

Mutmaßlich verantwortlich für die gehackten Proxy-Server dürfte eine Sicherheitslücke sein, die Mikrotik im März behoben hat und die als CVE-2018-14847 geführt wird. Zwei Mitarbeiter des iranischen CERTs haben die Lücke im Detail analysiert. Demnach ist es möglich, Dateien der entsprechenden Geräte auszulesen. Damit lassen sich die Zugangsdaten der betroffenen Geräte auslesen. Da die Passwörter nicht gehasht sind, ist es damit direkt möglich, gültige Zugangsdaten zu erhalten und sich auf den entsprechenden Geräte einzuloggen.

Die meisten von uns gefundenen gehackten Geräte beziehen ihren Javascript-Code von zwei Domains. Eine davon wurde inzwischen stillgelegt, somit dürfte der Angriff teilweise ins Leere laufen. Bei der anderen wird der Code von der Firma Coinhive genutzt.

Provider, die entsprechende Hardware einsetzen, sollten diese natürlich umgehend auf den aktuellsten Stand bringen. Generell gilt: Derartige Angriffe sind nur bei unverschlüsselten HTTP-Verbindungen möglich. Solche Angriffe zeigen damit auch, dass es generell sinnvoll ist, Webseiten über HTTPS auszuliefern - selbst bei rein statischen Webseiten. Denn HTTPS dient nicht nur dazu, zu verschlüsseln, sondern auch, Manipulationen an Netzverbindungen zu verhindern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 15,00€
  2. 37,49€
  3. 14,99€

sg-1 12. Okt 2018

Ich hoffe,er arbeitet überhaupt nicht in der IT

KOTRET 12. Okt 2018

Da zeigt es sich wieder wie notwendig eine gute Qualitätsicherung, Test und Code-Audits sind.

gaym0r 12. Okt 2018

Mit HTTPS wäre das nicht passiert. Zum Glück wird das endlich immer verbreiteter.

RipClaw 11. Okt 2018

Das ist kein Proxy den du dir im Browser einstellst. Dieser wird einem vom...


Folgen Sie uns
       


Jedi Fallen Order - Fazit

Wer Fan von Star Wars ist und neben viel Macht auch eine gewisse Frusttoleranz in sich spürt, sollte Jedi Fallen Order eine Chance geben.

Jedi Fallen Order - Fazit Video aufrufen
Computerlinguistik: Bordstein Sie Ihre Erwartung!
Computerlinguistik
"Bordstein Sie Ihre Erwartung!"

Ob Google, Microsoft oder Amazon: Unternehmen befinden sich im internationalen Wettlauf um die treffendsten Übersetzungen. Kontext-Integration, Datenmangel in kleinen Sprachen sowie fehlende Experten für Machine Learning und Sprachverarbeitung sind dabei immer noch die größten Hürden.
Ein Bericht von Maja Hoock

  1. OpenAI Roboterarm löst Zauberwürfel einhändig
  2. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

Ryzen Mobile 4000 (Renoir): Lasst die Ära der schrottigen AMD-Notebooks enden!
Ryzen Mobile 4000 (Renoir)
Lasst die Ära der schrottigen AMD-Notebooks enden!

Seit vielen Jahren gibt es kaum Premium-Geräte mit AMD-Chips und selbst bei vermeintlich identischer Ausstattung fehlen Eigenschaften wie eine beleuchtete Tastatur oder Thunderbolt 3. Schluss damit!
Ein IMHO von Marc Sauter

  1. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  2. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks
  3. Zen+ AMD verkauft Ryzen 5 1600 mit flotteren CPU-Kernen

Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

    •  /