Abo
  • Services:

Mikrotik: Proxy-Server fügen Kryptominer ein

Gehackte Proxy-Server der Firma Mikrotik, die von Internet-Zugangsprovidern genutzt werden, fügen Kryptominer-Code in unverschlüsselte HTTP-Anfragen ein. Die entsprechende Lücke wurde bereits im März behoben, doch weiterhin sind hunderte Proxies aktiv.

Artikel veröffentlicht am , Hanno Böck
Wenn der Prozessor beim Aufruf von Webseiten unerwartet heiß läuft, ist möglicherweise ein Kryptominer aktiv.
Wenn der Prozessor beim Aufruf von Webseiten unerwartet heiß läuft, ist möglicherweise ein Kryptominer aktiv. (Bild: Marcus Obal, Wikimedia Commons/CC-BY-SA 3.0)

Zahlreiche Internetnutzer werden beim Surfen heimlich auf Seiten weitergeleitet, die ihre Prozessorleistung missbrauchen, um Kryptowährungen zu erzeugen. Verantwortlich dafür sind gehackte Proxy-Server der Firma Mikrotik.

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen

Auf das Problem machte uns der Golem.de-Leser und Softwareentwickler Max Schmitt aufmerksam. Er beobachtete bei seinen Internetverbindungen über den Provider TKN Deutschland, einem lokalen Provider aus Bayern, dass einzelne HTTP-Verbindungen Kryptomining-Code ausführten.

HTTP-Verbindungen laden Javascript-Kryptominer nach

Dabei wird die Verbindung so manipuliert, dass die eigentliche Webseite in einem Iframe dargestellt wird. Gleichzeitig wird eine Javascript-Datei geladen. Diese sorgt dann dafür, dass auf dem Rechner des Nutzers Berechnungen zur Erzeugung von Kryptowährung durchgeführt werden.

Die Verbindungen wurden bei TKN offenbar transparent über einen Proxy-Server geleitet. Golem.de konnte das Problem nachstellen, da der Proxy auch aus dem öffentlichen Internet erreichbar war. Besonders subtil gingen die Angreifer dabei nicht vor: Sekunden nach dem Seitenaufruf war das System vollständig ausgelastet und der CPU-Lüfter machte sich bemerkbar.

Max Schmitt hatte TKN bereits Mitte September auf dieses Problem hingewiesen. Daraufhin wurde es wohl zeitweise behoben, trat vor wenigen Tagen aber erneut auf.

Doch TKN ist nicht der einzige betroffene Provider. Einem Blogpost der Webseite Bad Packets Report zufolge waren Ende September weltweit über 200.000 Geräte von Mikrotik mit Kryptominer-Malware versehen.

Wir haben selbst nach entsprechenden Geräten gesucht und in Deutschland mehrere Hundert betroffene Proxy-Server gefunden. Sie verteilen sich über zahlreiche Provider. Wir haben die Liste der betroffenen IP-Adressen an das CERT Bund weitergegeben, das CERT will die betroffenen Provider entsprechend informieren.

Sicherheitslücke in Mikrotik-Produkten seit März behoben

Mutmaßlich verantwortlich für die gehackten Proxy-Server dürfte eine Sicherheitslücke sein, die Mikrotik im März behoben hat und die als CVE-2018-14847 geführt wird. Zwei Mitarbeiter des iranischen CERTs haben die Lücke im Detail analysiert. Demnach ist es möglich, Dateien der entsprechenden Geräte auszulesen. Damit lassen sich die Zugangsdaten der betroffenen Geräte auslesen. Da die Passwörter nicht gehasht sind, ist es damit direkt möglich, gültige Zugangsdaten zu erhalten und sich auf den entsprechenden Geräte einzuloggen.

Die meisten von uns gefundenen gehackten Geräte beziehen ihren Javascript-Code von zwei Domains. Eine davon wurde inzwischen stillgelegt, somit dürfte der Angriff teilweise ins Leere laufen. Bei der anderen wird der Code von der Firma Coinhive genutzt.

Provider, die entsprechende Hardware einsetzen, sollten diese natürlich umgehend auf den aktuellsten Stand bringen. Generell gilt: Derartige Angriffe sind nur bei unverschlüsselten HTTP-Verbindungen möglich. Solche Angriffe zeigen damit auch, dass es generell sinnvoll ist, Webseiten über HTTPS auszuliefern - selbst bei rein statischen Webseiten. Denn HTTPS dient nicht nur dazu, zu verschlüsseln, sondern auch, Manipulationen an Netzverbindungen zu verhindern.



Anzeige
Hardware-Angebote
  1. 119,90€
  2. 1.299,00€

sg-1 12. Okt 2018 / Themenstart

Ich hoffe,er arbeitet überhaupt nicht in der IT

KOTRET 12. Okt 2018 / Themenstart

Da zeigt es sich wieder wie notwendig eine gute Qualitätsicherung, Test und Code-Audits sind.

gaym0r 12. Okt 2018 / Themenstart

Mit HTTPS wäre das nicht passiert. Zum Glück wird das endlich immer verbreiteter.

RipClaw 11. Okt 2018 / Themenstart

Das ist kein Proxy den du dir im Browser einstellst. Dieser wird einem vom...

Kommentieren


Folgen Sie uns
       


Lenovo Mirage Solo und Camera - Test

Wir haben laut Lenovo "die nächste Generation VR" getestet. Tipp: Sie ist nicht so viel besser als die letzte.

Lenovo Mirage Solo und Camera - Test Video aufrufen
Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
Drahtlos-Headsets im Test
Ohne Kabel spielt sich's angenehmer

Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
Ein Test von Oliver Nickel

  1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
  2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
  3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

    •  /