Original-URL des Artikels: https://www.golem.de/news/kubernetes-kryptomining-auf-ungesicherten-tesla-cloud-diensten-1802-132898.html    Veröffentlicht: 21.02.2018 12:20    Kurz-URL: https://glm.io/132898

Kubernetes

Kryptomining auf ungesicherten Tesla-Cloud-Diensten

Tesla hat einen Kubernetes-Pod ohne Kennwortschutz laufen lassen - und sich damit Kryptomining-Malware eingefangen. Derzeit wird außerdem eine Sicherheitslücke in Jenkins-Servern für eine weitere Kampagne ausgenutzt.

Die Sicherheitsfirma Redlock hat unerlaubtes Kryptomining auf einem von Tesla angemieteten Cloud-Dienst festgestellt. Der Vorfall ist auf ungenügende Sicherheitsmaßnahmen bei dem Autobauer zurückzuführen, ein Kubernetes-Interface zur Verwaltung von Containern war ohne Passwortschutz über das Netz zu erreichen.

Über den Kubernetes-Pod konnten die Kriminellen Zugangsdaten für weitere von Tesla gemietete Cloud-Dienste erlangen, etwa für ein Amazon-AWS-S3-Bucket. In dem Bucket fanden sich Telemetriedaten von Tesla-Fahrzeugen. Nach Angaben des Unternehmens soll es sich bei den betroffenen Autos um Testfahrzeuge von Tesla selbst handeln - Kundendaten sollen demnach nicht betroffen sein.

Die Angreifer haben den Angaben von Redlock zufolge auf dem Kubernetes-Pod eine Mining-Pool-Software installiert, die sich mit einem bis dato unbekannten Endpunkt verbunden hat. Daher kann der Angriff nicht so leicht entdeckt werden wie bei bekannten Kryptomining-IPs. Auch wurden die Systeme offenbar bewusst nicht voll ausgelastet, um den Angriff zu tarnen.

Nach einer Mitteilung soll Tesla die Systeme umgehend abgesichert haben. Das Unternehmen sagte Ars Technica: "Wir betreiben ein Bug-Bounty-Programm, um genau diese Art von Forschung zu fördern und wir haben die Schwachstelle nach Kenntnisnahme innerhalb weniger Stunden beseitigt."

Auch Jenkins-Server betroffen

Nach Angaben der Sicherheitsfirma Check Point wird aktuell außerdem eine Schwachstelle in Jenkins-Servern genutzt, um Kryptomining zu betreiben. Dabei wird eine bekannte Java-Deserialisierungslücke (CVE-2017-1000353) ausgenutzt, um einen Remote-Access-Trojaner (RAT) und den Xmrig-Miner zu installieren. Infektionen mit der Malware seien auch auf zahlreichen Windows-PCs festgestellt worden, schreibt Checkpoint.

Die Gewinne aus diesen Mining-Operationen wurden offenbar an nur eine Monero-Wallet gesendet. Demnach beträgt der Profit der Aktion nach aktuellem Kurs bislang etwa 3 Millionen US-Dollar.  (hg)


Verwandte Artikel:
Kostenfreier Strom aus dem Supercharger: Cryptomining im Tesla-Kofferraum   
(29.11.2017, https://glm.io/131393 )
Monero: Werbeanzeigen mit verstecktem Kryptomining auch auf Youtube   
(29.01.2018, https://glm.io/132449 )
Cryptokitties: Mein Leben als Kryptokatzenzüchter   
(11.12.2017, https://glm.io/131588 )
Coinhive: Kryptominingskript in Chat-Widget entdeckt   
(24.11.2017, https://glm.io/131327 )
Coinhive: 500 Millionen Website-Nutzer für Kryptomining missbraucht   
(15.10.2017, https://glm.io/130621 )

© 1997–2019 Golem.de, https://www.golem.de/