Kürzlich entdeckte Sysjoker-Backdoor zielt auf Windows-, Linux- und Mac-Geräte ab

Kürzlich entdeckte Sysjoker-Backdoor zielt auf Windows-, Linux- und Mac-Geräte ab

Kürzlich entdeckte Sysjoker-Backdoor zielt auf Windows-, Linux- und Mac-Geräte ab

Kürzlich wurde von Forschern eine bisher nicht dokumentierte Malware aufgedeckt. Die Backdoor mit dem Namen SysJoker ist in C++ geschrieben und zielt auf Windows-, Linux- und Mac-Systeme ab.

Nach Angaben von Intezer wurde die SysJoker-Malware erstmals im Dezember 2021 entdeckt. Die Malware mit der Endung .ts wurde mehrmals bei VirusTotal gemeldet und wird möglicherweise über ein infiziertes npm-Paket verbreitet.

Die Angreifer hinter SysJoker scheinen sehr aktiv zu sein und infizieren kontinuierlich eine große Anzahl von Rechnern. Diese Entwicklung ist auf die häufigen Änderungen des von den Betreibern verwendeten C2-Servers zurückzuführen. Ausgehend von der Viktimologie und dem Verhalten der Malware gehen die Forscher zudem davon aus, dass SysJoker es auf bestimmte Ziele abgesehen hat. Das Verhalten von SysJoker ist bei allen drei Betriebssystemen, mit Ausnahme der Verwendung eines First-Stage-Droppers in der Windows-Version, ähnlich. Sobald SysJoker ein Ziel gefunden hat, tarnt er sich als System-Update und generiert sein C2, indem er eine Zeichenfolge entschlüsselt, die aus einer Textdatei auf Google Drive stammt. Darüber hinaus verwendet er Living off the Land (LotL)-Befehle, um Systeminformationen wie Mac-Adresse, Benutzernamen, Seriennummer des physischen Mediums und IP-Adresse zu sammeln. Living off the Land (LotL)-Attacken beschreiben eine Cyber-Attacke, bei der Angreifer legitime Software, Apps und Funktionen, die bereits im System des Opfers vorhanden sind, verwenden, um böswillige Aktionen darauf durchzuführen.

Wie lassen sich die Angriffe entschärfen?

- Benutzer oder Administratoren können Speicher-Scanner verwenden, um die SysJoker-Payload im Speicher zu erkennen. Sie können die erkannten Inhalte auch für die Suche in Endpoint Detection and Response (EDR)- und Security Information and Event Management (SIEM)-Plattformen nutzen.

-Die Sicherstellung, dass auf den Systemen die neuesten Softwareversionen installiert sind, trägt ebenfalls dazu bei, die Verbreitung solcher Angriffe zu verhindern.

Quelle: https://cyware.com/

Schwachstelle in Kernel-TIPC-Modulen der Linux-Distributionen entdeckt

Schwachstelle in Kernel-TIPC-Modulen der Linux-Distributionen entdeckt

Schwachstelle in Kernel-TIPC-Modulen der Linux-Distributionen entdeckt

SentinelLabs hat kürzlich einen ausführlichen Beitrag über eine Heap-Overflow-Schwachstelle veröffentlicht, die alle Linux-Distributionen mit dem Kernel-TIPC-Modul betrifft und als CVE-2021-43267 identifiziert wurde. Im Fokus stehen die Linux-Kernel-Versionen 5.10-rc1 und 5.15.

Transparent Inter Process Communication (TIPC) ist ein spezielles Modul, das für clusterweite Kommunikationsvorgänge wie Dienstadressierung, Dienstverfolgung, Gruppennachrichtenaustausch und mehr entwickelt wurde.

Forscher fanden diese Schwachstelle bei der Analyse des Linux-Kernel-Quellcodes mit dem Tool CodeQL. CodeQL ist ein semantisches Code-Analyse-Engine, das auch bei der Suche nach Fehlern helfen kann, da sie die Ausführung von Abfragen im Code ermöglicht. Mithilfe dieses Tools fanden Forscher die Heap-Overflow-Schwachstelle, die es einem Angreifer ermöglichen könnte, Privilegien auf Kernel-Ebene zu erlangen.

In diesem Beitrag wird der Fehler im TIPC-Modul näher erläutert:

„The Header Size and the Message Size are both validated against the actual packet size. So while these values are guaranteed to be within the range of the actual packet, there are no similar checks for either the keylen member of the MSG_CRYPTO message or the size of the key algorithm name itself (TIPC_AEAD_ALG_NAME) against the message size. This means that an attacker can create a packet with a small body size to allocate heap memory, and then use an arbitrary size in the keylen attribute to write outside the bounds of this location (https://www.sentinelone.com/labs/tipc-remote-linux-kernel-heap-overflow-allows-arbitrary-code-execution/).

„Die Header-Größe und die Nachrichtengröße werden beide anhand der tatsächlichen Paketgröße überprüft. Während diese Werte also garantiert innerhalb des Bereichs des tatsächlichen Pakets liegen, existieren keine ähnlichen Überprüfungen für das keylen-Mitglied der SG_CRYPTO-Nachricht oder die Größe des Schlüsselalgorithmus-Namens selbst (TIPC_AEAD_ALG_NAME) anhand der Nachrichtengröße. Dies bedeutet, dass ein Angreifer ein Paket mit einer kleinen Körpergröße erstellen kann, um Heap-Speicher zuzuweisen und anschließend dann eine beliebige Größe im keylen-Attribut verwenden kann, um außerhalb der Grenzen dieses Pfades zu schreiben (Übersetzung des Verfassers).“

Diese Schwachstelle stellt ein ernstzunehmendes Sicherheitsrisiko für Linux-Systeme dar, da sie ein Angreifer sowohl lokal als auch aus der Ferne ausnutzen kann.

Nach der Entdeckung des Fehlers, der als CVE-2021-43267 identifiziert wurde, wandten sich die Forscher an Kernel.org und meldeten den Fehler. Wir können diese Schwachstelle in unserer Leitstelle mithilfe des EDR (Endpoint Detection and Response) Vulnerability-Scanners erkennen und entsprechend an unsere aufgeschalteten Kunden melden.

Unsere Handlungsempfehlung:

Die Entwickler haben den Fehler mit der Veröffentlichung der Kernel-Version 5.15 behoben. Es wird hiermit empfohlen, so schnell wie möglich auf diese Version zu aktualisieren.

 

Log4Shell – weitere kritische RCE-Schwachstelle in H2-Datenbankkonsole entdeckt

Log4Shell-weitere kritische RCE-Schwachstelle in H2-Datenbankkonsole entdeckt

Log4Shell - weitere kritische RCE-Schwachstelle in H2-Datenbankkonsole entdeckt

Nach der Sicherheitsschwachstelle „Log4Shell“, die im letzten Monat bekannt wurde, ist nun eine Sicherheitslücke in H2-Datenbankkonsolen aufgedeckt worden, die zur Ausführung von Remotecode führen kann. Die entdeckte Schwachstelle hat die Bezeichnung CVE-2021-42392 und ist die erste seit der Veröffentlichung von Log4Shell auf einer anderen Komponente als Log4j, die dieselbe Ursache wie bei der Log4Shell-Schwachstelle namens JNDI Remote-Class-Loading ausnutzt.

H2 ist ein in Java geschriebenes relationales Open-Source-Datenbankmanagementsystem, das in Anwendungen eingebettet oder in einem Client-Server-Modus ausgeführt werden kann. Die H2-Datenbank-Engine wird von insgesamt 6.807 Artefakten verwendet. JNDI, kurz für Java Naming and Directory Interface, bezieht sich auf eine API, die Namens- und Verzeichnisfunktionen für Java-Anwendungen bereitstellt, die diese API in Verbindung mit LDAP verwenden können, um eine bestimmte Ressource zu finden, die sie benötigen.

Ähnlich wie bei der Log4Shell-Schwachstelle, können von Angreifern kontrollierte URLs, die sich in JNDI-Lookups ausbreiten, eine nicht authentifizierte Remote-Code-Ausführung ermöglichen und Angreifern die alleinige Kontrolle über den Betrieb der Systeme einer anderen Person oder Organisation geben. Betroffen von der Schwachstelle ist die H2-Datenbankversionen 1.1.100 bis 2.0.204, diesewurde in der am 5. Januar 2022 ausgelieferten Version 2.0.206 behoben.

Die H2-Datenbank wird von vielen Frameworks von Drittanbietern verwendet, darunter Spring Boot, Play Framework und JHipster. Obwohl diese Schwachstelle nicht so weit verbreitet ist wie Log4Shell, kann sie dennoch dramatische Auswirkungen auf Entwickler und Produktionssysteme haben, wenn sie nicht entsprechend behoben wird.

Unsere Handlungsempfehlungen:

- Prüfen Sie, ob auf Ihren Systemen eine der betroffenen Versionen von der H2-Datenbankversionen (1.1.100 bis 2.0.204) verwendet wird.

- Sie können Ihre lokalen Subnetze beispielsweise mit nmap nach offenen Instanzen der H2-Konsole durchsuchen:

nmap -sV --script http-title --script-args "http-title.url=/" -p80,443,8000-9000 192.168.0.0/8 | grep "H2 Console"

- Installieren Sie die aktuelle Version 2.0.206 der H2-Datenbank, auch wenn Sie die H2-Konsole nicht direkt verwenden. Dies ist wichtig, da es andere Angriffsvektoren gibt, deren Ausnutzbarkeit möglicherweise schwer festzustellen ist.

- Für Anbieter, die derzeit nicht in der Lage sind, H2 zu aktualisieren, existiert die folgende Abhilfe:

-Ähnlich wie bei der Log4Shell-Schwachstelle enthalten neuere Versionen von Java die Abschwächung trustURLCodebase, die es nicht zulässt, dass Remote-Codebases über JNDI geladen werden. Anbieter sollten ihre Java-Version (JRE/JDK) aktualisieren, um diese Abschwächung zu aktivieren. Diese Abschwächung ist standardmäßig in den Java-Versionen 6u211, 7u201, 8u191, 11.0.1 vorhanden.