Das Forschungsteam von Censys hat einige der wichtigsten Schwachstellen dieses Jahres aufgespürt und mit seiner Arbeit für Schlagzeilen gesorgt. Lesen Sie mehr über drei der Schwachstellen, die das Team mithilfe unserer Internet-Intelligence-Daten aufgespürt hat, und erfahren Sie, wie es um die Behebung der Risiken der einzelnen Schwachstellen bestellt ist.
ESXiArgs-Ransomware trifft mehr als 3500 VMWare-Server
Mehr als 3.500 VMWare ESXi-Server weltweit sind von einer Ransomware-Kampagne betroffen, die Anfang Februar begann. Letzte Woche veröffentlichte die CISA ein Wiederherstellungstool für Opfer, die von der ESXiArgs-Ransomware betroffen sind. Die Ransomware nutzt eine ungepatchte Schwachstelle in VMWare-Servern aus und ermöglicht es einem Bedrohungsakteur, einen Heap-Überlauf im OpenSLP-Dienst auszulösen, der zu einer Remotecodeausführung führen kann. Diese Ransomware ist insofern ungewöhnlich, als sie Lösegeldforderungen im Internet präsentiert, wodurch die Ransomware-Aktivität für Scanner wie den unseren besser sichtbar wird. Die VMWare-Schwachstelle wurde zuerst mit Censys' Internet-Scanning entdeckt, das 3.551 infizierte Hosts beobachtete.
Censys Die leitenden Sicherheitsforscher Emily Austin und Marc Light nehmen den Ransomware-Angriff unter die Lupe und erörtern in ihrem Blogbeitrag die Bedeutung der Beobachtungen, die Censys machen konnte: ESXWhy: Ein Blick auf die ESXiArgs-Ransomware.
In den Nachrichten
CensysÜber die Entdeckung der Ransomware wurde in einer Reihe von Publikationen berichtet:
TechRepublic: Massive Ransomware-Operation zielt auf VMware ESXi: Wie man sich vor dieser Sicherheitsbedrohung schützt
TechRepublic stellt fest, dass Censys herausgefunden hat, dass mehr als 1000 Server erfolgreich von der ESXiArgs-Ransomware befallen wurden, die meisten davon in Frankreich, gefolgt von den USA und Deutschland. TechRepublic liefert auch Details zur Funktionsweise der Ransomware, einschließlich der Forderung nach einer Bitcoin-Zahlung innerhalb von drei Tagen, und gibt Hinweise, wie Betroffene der Ransomware vorbeugen und sich von ihr erholen können.
Cyberscoop: Weltweite Ransomware-Attacke infiziert ungepatchte VMWare-Server. CISA hat eine (mögliche) Lösung.
Cyberscoop berichtet, dass die Hacker trotz des CISA-Fixes "die Malware aktualisiert haben, um weitere Dateien zu verschlüsseln" und erklärt, dass die Auswirkungen dieser Ransomware-Kampagne noch bewertet werden. Sie stellen fest, dass Censys mindestens 3.800 kompromittierte Hosts mit 900 Servern identifiziert hat, auf denen die neueste Version der Malware installiert ist.
Das Team von Censys wird diese Kampagne weiterhin auf Anzeichen für weitere Aktivitäten überwachen, und auch Sie können dies tun, indem Sie diese Suchanfrage Censys verwenden.
CISA fordert zivile Bundesbehörden auf, SugarCRM-Fehler zu beheben
Kurz vor Beginn des neuen Jahres wurde auf der Mailingliste Full-Disclosure ein Exploit für ein webbasiertes Content-Management-System namens SugarCRM veröffentlicht. Der Exploit wird verwendet, um Hosts in freier Wildbahn zu kompromittieren und eine php-basierte Webshell zu installieren. Kurz nach der Veröffentlichung des Exploits beobachtete Censys 3.059 Instanzen von SugarCRM im Internet und 354 eindeutige IP-Adressen, die die durch den Exploit installierte Webshell enthielten. Die Forscher von Censys verfolgten auch die zehn am stärksten infizierten Host-Länder (#1 - Vereinigte Staaten) sowie die am stärksten betroffenen autonomen Systeme (#1 - Amazon-02).
Die CISA hat die Sicherheitslücke inzwischen in ihren Katalog bekannter Sicherheitslücken aufgenommen und zivile Behörden angewiesen, den SugarCRM-Bug bis zum 23. Februar zu patchen.
Lesen Sie mehr darüber, wie Censys den SugarCRM-Bug aufspürte und welche gemeinsamen Indikatoren für eine Gefährdung identifiziert wurden: Aufspüren eines SugarCRM Zero-Day
In den Nachrichten
Der Rekord: CISA nimmt Oracle- und SugarCRM-Fehler in die Liste der ausgenutzten Sicherheitslücken auf
The Record berichtet, dass die CISA den SugarCRM-Bug in ihre Liste der ausgenutzten Schwachstellen aufgenommen hat und feststellt, dass die Schwachstelle aktiv ausgenutzt wird und "erhebliche Risiken für Bundesunternehmen birgt". Der Artikel zitiert die Beobachtung von Censys, dass im Januar mehr als 3.000 Instanzen von SugarCRM im Internet zu finden waren und mehr als 350 IP-Adressen die installierte Webshell des Exploits enthielten. The Record weist auch darauf hin, dass der SugarCRM-Bug auf das Marktsegment der kleinen Unternehmen abzielt, während der Oracle-Bug - der auf Anweisung der CISA bis zum 23. Februar 2023 gepatcht werden muss - auf Unternehmen abzielt, was wiederum verdeutlicht, wie alle Marktsegmente von fortschrittlichen, dauerhaften Bedrohungen betroffen sein können.
Auslaufende Cisco-Router sind für RCE-Angriffe anfällig
Das Team von Censys hat eine Sicherheitslücke in Ciscos Routern für kleine Unternehmen verfolgt, die im Januar aufgetaucht ist. Eine Woche nach dem Bekanntwerden fand Censys etwa 19.500 Cisco-Router, die nicht gepatcht und für RCE-Angriffe anfällig waren. Diese Schwachstelle ermöglicht es nicht authentifizierten Clients, die Authentifizierung zu umgehen und administrative Rechte zu erlangen, mit denen sie beliebige Befehle ausführen können. Da Cisco diese End-of-Life-Server nicht mehr unterstützt, kündigte das Unternehmen an, dass keine Software-Updates zur Behebung der Schwachstelle veröffentlicht werden.
Durch eine Abfrage auf Censys Search konnte das Forschungsteam von Censys aufschlüsseln, welche Router-Altmodelle am stärksten betroffen waren und wo die betroffenen Modelle weltweit gehostet wurden. Weitere Informationen darüber, wie wir diese Gefährdung aufgespürt haben, finden Sie im Rapid Response Blog unseres Teams: CVE-2023-20025: RCE in auslaufenden Cisco-Routern
In den Nachrichten
Bleeping Computer: Über 19.000 ausgemusterte Cisco-Router für RCE-Angriffe anfällig
Bleeping Computer zitiert in seinem Bericht über die jüngste Cisco-Router-Enthüllung die Forscher von Censys und hebt hervor, dass das Team von Censys fast 20.000 Hosts gefunden hat, die potenziell für den Angriff anfällig sind, und vier Cisco-Router-Modelle identifiziert hat, die betroffen sind. Bleeping Computer teilt auch die Richtlinien von Cisco mit, wie Benutzer ihre Geräte trotzdem absichern können, obwohl kein offizielles Sicherheitsupdate veröffentlicht wird.
Möchten Sie mehr darüber erfahren, wie Sicherheitsteams Censys Internet Intelligence-Daten nutzen können, um Schwachstellen zu verstehen und zu beheben? Erkunden Sie Censys Search oder wenden Sie sich an eines unserer Teammitglieder.
