CMS-Plattformen immer häufiger Ziel von Angriffen
Das bekannte Botnet KashmirBlack ist, laut Forschern, für immer mehr Angriffe auf bekannte Content-Management-Systeme und Plattformen wie Drupal, Joomla und WordPress verantwortlich. Dabei nutzen die Angreifer bekannte und unbekannte Schwachstellen der Systeme, um Schadsoftware und vor allem sogenannte Cryptominer einzuschleusen. Dank vergangener Erfolge verfügt das Botnet mittlerweile über eine enorm starke Infrastruktur und weitet seine Angriffe massiv aus.
Seit Ende 2019 aktiv und noch immer nicht gestoppt
Das Botnet KashmirBlack ist laut den Forschern von Imperva seit November 2019 aktiv und hat seit diesem Zeitpunkt die Menge und die Intensität der eigenen Angriffe immer weiter verstärkt. Dank der wachsenden Infrastruktur des Netzwerks werden immer mehr Seiten angegriffen und erfolgreich übernommen. Dabei zielt das Botnet vor allem auf Content-Management-Systeme wie Drupal, WordPress oder Joomla, da bei diesen viele Schwachstellen nicht schnell genug geschlossen werden oder Unternehmen und Privatpersonen auf notwendige Sicherheitsupdates verzichten. Das Ziel der Angriffe von KashmirBlack ist das Einschleusen von Cryptominern, welche für die Hintermänner über die betroffenen Server Kryptowährungen schürfen sollen.
Die Angriffe nehmen massiv zu
Dank des finanziellen Erfolgs dieser Maßnahmen hat das Botnet in den letzten Monaten erheblich an Bedrohung gewonnen, da das Botnet mittlerweile auf massive Hardware zurückgreifen kann, um tausende Webseiten pro Tag anzugreifen. Laut Forschern stehen dem Botnet mittlerweile mehr als 60 Server für die eigenen Angriffe zur Verfügung. Dank einer ganzen Reihe an verfügbaren Hintertüren und auch dank der Möglichkeit, sich den Zugang über Brute-Force-Angriffe zu verschaffen, wird das Botnet auch für Unternehmen zu einer immer größeren Gefahr. Den Sicherheitsexperten von Imperva ist es gelungen, die bisherigen Angriffe des Netzwerks zu analysieren. So hat das Botnet seit seinem ersten Auftauchen insgesamt mindestens 16 verschiedene Sicherheitslücken ausgenutzt, um die unterschiedlichen Systeme zu übernehmen.
Was Unternehmen jetzt machen sollten
Das Botnet erkennt mögliche Angriffspunkte vor allem über breitgefächerte Scans, über welche Webseiten identifiziert werden, welche auf veraltete Software setzen und welche somit angreifbar sind. Für Unternehmen bedeutet dies vor allem, dass die Aktualität der eigenen Software, aber auch die verwendeten Sicherheitssysteme in jedem Fall überprüft werden sollten. Denn nur wenn alle Sicherheitslücken geschlossen sind, kann ein erster Angriff verhindert werden. Wer überhaupt nicht in der Liste der möglichen Ziele auftaucht, kann dementsprechend auch nicht angegriffen werden. Daher gilt es nicht nur die eigentliche CMS-Software zu überprüfen, sondern auch die zugehörigen Addons und Plugins.
Folgende Systeme sind von den Angriffen betroffen
Wie am Anfang bereits berichtet griff das Botnet KashmirBlack unter anderem die Content-Management-Systeme Drupal, WordPress und Joomla an. Doch damit nicht genug. Denn auch Systeme wie Magento, Yeager CMS, vBulletin, PrestaShop, osCommerce und OpenCart sind von den entsprechenden Sicherheitslücken betroffen. Da es sich bei den Angriffen durch das Botnet jedoch um ein dynamisches Geschehen handelt, kann nicht ausgeschlossen werden, dass in Zukunft auch Angriffe auf andere Systeme erfolgen werden. Aus diesem Grund sollten die Sicherheitsmaßnahmen in jedem Bereich massiv verstärkt werden, um sich vor diesen Angriffen zu schützen. Denn aktuell nutzt das Botnet die Angriffe vor allem für das Cryptomining aus. Doch was ist, wenn dies nicht mehr lukrativ genug ist. Mit einem direkten Zugang zu den verschiedenen Systemen können auch andere Formen der Schadsoftware aufgespielt und genutzt werden. Es heißt also auch in Zukunft weiterhin vorsichtig zu sein.
Quelle: ©Gorodenkoff/ Adobe Stock