Palo Alto Networks: Verwandeln sich Ihre Nagios XI-Server in Cryptocurrency Miner?
19. April 2021 - Am 16. März 2021 beobachteten Forscher der "Unit 42" von Palo Alto Networks einen Angreifer, der auf Nagios XI-Software abzielte, um die Sicherheitsanfälligkeit CVE-2021-25296 auszunutzen, eine Sicherheitsanfälligkeit bezüglich Remotebefehlsinjektion, die sich auf Nagios XI Version 5.7.5 auswirkt, um einen Cryptojacking-Angriff durchzuführen und den XMRig-Coinminer auf den Geräten der Opfer bereitzustellen.
Nagios XI ist eine weit verbreitete Software, die Enterprise Server- und Netzwerküberwachungslösungen bietet. Die Funktion welche aktuell in Nagios XI ausgenutzt wird, lautet "Konfigurationsassistent: Windows Management Instrumentation (WMI)".
XMRig Coin Miner ist ein plattformübergreifender Open-Source-Cryptocurrency Miner. Bei einem erfolgreichen Angriff wird ein XMRig-Coinminer auf den gefährdeten Geräten bereitgestellt.
Durch das Aktualisieren von Nagios XI auf die neueste Version wird die Sicherheitsanfälligkeit verringert. Benutzer, die die aktuelle Version von Nagios XI nicht verwenden können, können die in der Schwachstellenanalyse beschriebene Datei /usr/local/nagiosxi/html/includes/configwizards/windowswmi/windowswmi.inc.php aktualisieren.
Um herauszufinden, ob ein Gerät kompromittiert ist und XMRig Miner ausgeführt wird, können Benutzer entweder:
Folgende Befehle ausführen:
ps -ef | grep 'systemd-py-run.sh \ | systemd-run.py \ | systemd-udevd-run.sh \ | systemd-udevd.sh \ | systemd-udevd.sh \ | workrun.sh \ | systemd-dev' und überprüfen Sie das Ergebnis. Wenn die Prozesse der genannten Skripte ausgeführt werden, ist das Gerät möglicherweise gefährdet.
Überprüfen Sie die Dateien im Ordner / usr / lib / dev und / tmp / usr / lib, um festzustellen, ob die genannten Skripte vorhanden sind oder nicht. Wenn sie vorhanden sind, sind die Geräte möglicherweise gefährdet.
Wenn festgestellt wird, dass das Gerät kompromittiert ist, wird durch einfaches Beenden des Prozesses und Löschen der Skripts die durch den Angriff bereitgestellte XMRig bereinigt.
Palo Alto Networks Firewall-Kunden der nächsten Generation mit Sicherheitsabonnements für Bedrohungsprävention, WildFire und URL-Filterung sind vor diesem Angriff geschützt.
Lesen Sie den ganzen Artikel - Quelle:
Are Your Nagios XI Servers Turning Into Cryptocurrency Miners for Attackers? (Unit 42, Palo Alto Networks)
Wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner und Authorized Support Center (ASC) in der Schweiz, helfen Ihnen bei Fragen gerne weiter.
Übrigens:
Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, zeichnet dieses Jahr die Walliseller IT-Sicherheitsdienstleisterin Omicron AG mit dem "Partner of the Year Award 2020" in der Region ALPS aus. Diese Auszeichnung wird an Partner von Palo Alto Networks verliehen, welche sich durch ausserordentlichen Kundensupport und exzellente Projektumsetzung hervorheben. Die Omicron AG ist bereits seit 2009 eine strategische Partnerin des Herstellers und betreut als Platinum Innovator Partner und Authorized Support Center (ASC) erfolgreich zahlreiche Kunden in der Schweiz. Zusammen mit Palo Alto Networks bemüht sich die Omicron AG tagtäglich, ihrer Kundschaft qualitativ hochstehende Leistungen im IT-Sicherheitsumfeld aus einer Hand zu bieten und zukünftige IT-Security-Herausforderungen vom Endpunkt, über die Firewall bis hin zur Cloud, fachgerecht zu adressieren.