Mikrotik: Proxy-Server fügen Kryptominer ein

Gehackte Proxy-Server der Firma Mikrotik, die von Internet-Zugangsprovidern genutzt werden, fügen Kryptominer-Code in unverschlüsselte HTTP-Anfragen ein. Die entsprechende Lücke wurde bereits im März behoben, doch weiterhin sind hunderte Proxies aktiv.

Artikel veröffentlicht am , Hanno Böck
Wenn der Prozessor beim Aufruf von Webseiten unerwartet heiß läuft, ist möglicherweise ein Kryptominer aktiv.
Wenn der Prozessor beim Aufruf von Webseiten unerwartet heiß läuft, ist möglicherweise ein Kryptominer aktiv. (Bild: Marcus Obal, Wikimedia Commons/CC-BY-SA 3.0)

Zahlreiche Internetnutzer werden beim Surfen heimlich auf Seiten weitergeleitet, die ihre Prozessorleistung missbrauchen, um Kryptowährungen zu erzeugen. Verantwortlich dafür sind gehackte Proxy-Server der Firma Mikrotik.

Stellenmarkt
  1. Sachbearbeiter Laufendhaltung Dokumentenmanagementsystem DMS (m/w/d)
    GDMcom GmbH, Leipzig
  2. Senior Developer R&D Applications (f/md)
    Beiersdorf AG, Hamburg
Detailsuche

Auf das Problem machte uns der Golem.de-Leser und Softwareentwickler Max Schmitt aufmerksam. Er beobachtete bei seinen Internetverbindungen über den Provider TKN Deutschland, einem lokalen Provider aus Bayern, dass einzelne HTTP-Verbindungen Kryptomining-Code ausführten.

HTTP-Verbindungen laden Javascript-Kryptominer nach

Dabei wird die Verbindung so manipuliert, dass die eigentliche Webseite in einem Iframe dargestellt wird. Gleichzeitig wird eine Javascript-Datei geladen. Diese sorgt dann dafür, dass auf dem Rechner des Nutzers Berechnungen zur Erzeugung von Kryptowährung durchgeführt werden.

Die Verbindungen wurden bei TKN offenbar transparent über einen Proxy-Server geleitet. Golem.de konnte das Problem nachstellen, da der Proxy auch aus dem öffentlichen Internet erreichbar war. Besonders subtil gingen die Angreifer dabei nicht vor: Sekunden nach dem Seitenaufruf war das System vollständig ausgelastet und der CPU-Lüfter machte sich bemerkbar.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Max Schmitt hatte TKN bereits Mitte September auf dieses Problem hingewiesen. Daraufhin wurde es wohl zeitweise behoben, trat vor wenigen Tagen aber erneut auf.

Doch TKN ist nicht der einzige betroffene Provider. Einem Blogpost der Webseite Bad Packets Report zufolge waren Ende September weltweit über 200.000 Geräte von Mikrotik mit Kryptominer-Malware versehen.

Wir haben selbst nach entsprechenden Geräten gesucht und in Deutschland mehrere Hundert betroffene Proxy-Server gefunden. Sie verteilen sich über zahlreiche Provider. Wir haben die Liste der betroffenen IP-Adressen an das CERT Bund weitergegeben, das CERT will die betroffenen Provider entsprechend informieren.

Sicherheitslücke in Mikrotik-Produkten seit März behoben

Mutmaßlich verantwortlich für die gehackten Proxy-Server dürfte eine Sicherheitslücke sein, die Mikrotik im März behoben hat und die als CVE-2018-14847 geführt wird. Zwei Mitarbeiter des iranischen CERTs haben die Lücke im Detail analysiert. Demnach ist es möglich, Dateien der entsprechenden Geräte auszulesen. Damit lassen sich die Zugangsdaten der betroffenen Geräte auslesen. Da die Passwörter nicht gehasht sind, ist es damit direkt möglich, gültige Zugangsdaten zu erhalten und sich auf den entsprechenden Geräte einzuloggen.

Die meisten von uns gefundenen gehackten Geräte beziehen ihren Javascript-Code von zwei Domains. Eine davon wurde inzwischen stillgelegt, somit dürfte der Angriff teilweise ins Leere laufen. Bei der anderen wird der Code von der Firma Coinhive genutzt.

Provider, die entsprechende Hardware einsetzen, sollten diese natürlich umgehend auf den aktuellsten Stand bringen. Generell gilt: Derartige Angriffe sind nur bei unverschlüsselten HTTP-Verbindungen möglich. Solche Angriffe zeigen damit auch, dass es generell sinnvoll ist, Webseiten über HTTPS auszuliefern - selbst bei rein statischen Webseiten. Denn HTTPS dient nicht nur dazu, zu verschlüsseln, sondern auch, Manipulationen an Netzverbindungen zu verhindern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Georg T.
Wieder Haft gegen Nichtzahler der Rundfunkgebühr

Georg T. sitzt seit 109 Tagen in Haft. Grund dafür sind 1.827 Euro Schulden für die Rundfunkgebühr - seine Haft kostet rund 18.000 Euro.

Georg T.: Wieder Haft gegen Nichtzahler der Rundfunkgebühr
Artikel
  1. MIG: Scheuers Funkloch GmbH hat erst zwei Stellen besetzt
    MIG
    Scheuers Funkloch GmbH hat erst zwei Stellen besetzt

    Der Bundesverkehrsminister scheint kein Personal für die Mobilfunkinfrastrukturgesellschaft zu finden.

  2. Square Enix: Action-Adventure mit den Guardians of the Galaxy angekündigt
    Square Enix
    Action-Adventure mit den Guardians of the Galaxy angekündigt

    E3 2021 Erinnert an Mass Effect, aber mit Humor und Groot: Square Enix will noch 2021 das Solo-Abenteuer Guardians of the Galaxy veröffentlichen.

  3. Bethesda: Starfield mit Rätseln und Doom Eternal mit 120 fps
    Bethesda
    Starfield mit Rätseln und Doom Eternal mit 120 fps

    E3 2021 Der Teaser von Starfield lädt zum Knoblen ein, Redfall bietet Blutsauger - und Doom Eternal erhält das Next-Gen-Grafikupdate.

sg-1 12. Okt 2018

Ich hoffe,er arbeitet überhaupt nicht in der IT

KOTRET 12. Okt 2018

Da zeigt es sich wieder wie notwendig eine gute Qualitätsicherung, Test und Code-Audits sind.

gaym0r 12. Okt 2018

Mit HTTPS wäre das nicht passiert. Zum Glück wird das endlich immer verbreiteter.

RipClaw 11. Okt 2018

Das ist kein Proxy den du dir im Browser einstellst. Dieser wird einem vom...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    •  /