Check Points “Most Wanted Malware“- Analyse für Juli

In dem neuesten Check Point Global Threat Index für Juli 2018 wird die Zunahme vom drei wesentliche IoT-Sicherheitslücken deutlich. Angriffe, die mit IoT-Malware wie Mirai, IoTroop/Reaper und VPN Filter in Zusammenhang stehen, haben sich seit Mai 2018 mehr als verdoppelt.

Im Juli 2018 haben drei IoT-Schwachstellen die Top-10-Liste der größten Exploits erreicht:

  • MVPower DVR router Remote Code Execution auf Platz #5
  • D_Link DSL-2750B router Remote Command Execution auf Platz #7
  • und Dasan GPON router Authentication Bypass auf Platz #10.

Insgesamt waren 45 Prozent aller Organisationen weltweit von Angriffen auf diese Sicherheitslücken betroffen, im Vergleich zu 35 Prozent im Juni 2018 und 21 Prozent im Mai dieses Jahres. All diese Sicherheitslücken ermöglichen es Angreifern, bösartigen Code auszuführen und Remote-Kontrolle über die Zielgeräte zu erlangen.

Coinhive ist nach wie vor die häufigste Malware, von der weltweit 19 Prozent der Organisationen betroffen sind. Cryptoloot und Dorkbot folgen auf Platz zwei bzw. drei, beide mit weltweiten Auswirkungen auf 7 Prozent der Unternehmen.

Die Top 3 der ‘Most Wanted’ Malware im Juli:

  1. Coinhive - Cryptominer zum Schürfen der Kryptowährung Monero online, ohne Wissen oder Zustimmung des Nutzers, sobald dieser eine verseuchte Internetseite besucht. Das eingebettete JavaScript nutzt einen Großteil der Rechnerressourcen von Maschinen der Endnutzer und könnte für einen Systemausfall sorgen.

  2. Cryptoloot - Crypto-Miner, der die CPU- oder GPU-Leistung des Opfers sowie vorhandene Ressourcen nutzt, indem er Transaktionen zur Blockchain hinzufügt und neue Währung freigibt. Ein Konkurrent von Coinhive, der versucht, ihm das Wasser abzugraben, indem er einen geringeren Umsatzanteil von den Webseiten verlangt.

  3. Dorkbot IRC-basierter Wurm, der Remote-Code-Ausführung durch seinen Betreiber zulassen soll sowie den Download zusätzlicher Malware auf das infizierte System. Es handelt sich um einen Banking-Trojaner mit der primären Motivation, sensible Daten zu stehlen und Denial-of-Service-Angriffe zu starten.

Check Points Forscher analysierten auch die am häufigsten ausgenutzten Cyber-Sicherheitslücken. An erster Stelle stand CVE-2017-7269, mit weltweiten Auswirkungen von 47 Prozent. Zweite war CVE-2017-5638, von der weltweit 42 Prozent betroffen waren, dicht gefolgt von OpenSSL TLS DTLS Heartbeat Information Disclosure, die global 41 Prozent aller Organisationen kompromittierte.

Die Top 3 der “Most Wanted” Schwachstellen im Juli:

  1. Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) - Ein Angreifer könnte durch Versenden einer manuellen Anfrage über ein Netzwerk an den Microsoft Windows Server 2003 R2 mithilfe der Microsoft Internet Information Services 6.0 einen beliebigen Code aus der Ferne ausführen oder auf dem Zielserver eine Denial-of-Service-Situation herbeiführen. Dies ist hauptsächlich auf eine Sicherheitslücke im Pufferüberlauf zurückzuführen, die durch ungenaue Validierung eines langen Headers in der http-Abfrage entstanden ist.

  2. Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) - In Apache Struts2, das einen Jakarta-Multipar-Parser nutzt, besteht eine Remote-Code-Execution-Lücke. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er einen ungültigen Content-Typ als Teil einer Aufforderung zum Datei-Upload versendet. Die erfolgreiche Ausnutzung erlaubt auf dem betroffenen System die Ausführung von beliebigem Code.

  3. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - In OpenSSL besteht eine Sicherheitslücke bei der Offenlegung von Informationen. Die Schwachstelle besteht aufgrund eines Fehlers im Umgang mit TLS/DTLS-Heartbeat-Paketen. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Speicherinhalte eines vernetzten Clients oder Servers offenzulegen.

Check Points Global Threat Impact Index und seine ThreatCloud Map werden von Check Points ThreatCloud Intelligence betrieben, dem größten Kooperationsnetzwerk zur Bekämpfung von Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem weltumspannenden Netz von Bedrohungssensoren liefert.

Die Threat-Cloud-Datenbank enthält über 250 Millionen auf Bot-Erkennung untersuchte Adressen, über 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Webseiten. Täglich identifiziert sie Millionen Arten von Malware.