Sieben Hackergruppen greifen Schweizer Websites an

Switch registriert seit Anfang der Woche täglich zehnmal mehr Domains, die Malware verbreiten, als an Durchschnittstagen. Dies könnte mit einem Sicherheitsproblem der Software Plesk zu tun haben.
12. Juli 2012, 12:29
NZZ Online

Von Henning Steier

Sicherheitsexperte Brian Krebs berichtet , dass ein Hacker in einem Forum für 8000 Dollar einen sogenannten Zero-Day-Exploit für Parallels Plesk (Windows-Versionen) verkauft, also Informationen über eine Schwachstelle, die dem Hersteller erst nach dem ersten Angriff bekannt werden. Mit dem Web-Frontend Plesk lassen sich Internetseiten verwalten.

Ein Hacker verkauft einen Zero-Day-Exploit für 8000 Dollar. Zoom

Ein Hacker verkauft einen Zero-Day-Exploit für 8000 Dollar.

Plesk Panel 11.0 soll nicht betroffen sein, dafür aber Versionen bis 10.4.4. Allerdings hatten Nutzer Probleme beim Upgrade, so dass vielfach noch die veraltete Version eingesetzt wird. Parallels hat mit einem Blogeintrag reagiert , in dem zu lesen ist, dass man noch überprüfe, ob die Lücke besteht. In älteren Plesk-Versionen soll sie bereits geschlossen worden. Hätten deren Nutzer nicht alle Passwörter geändert oder zurückgesetzt, könnte das Problem weiterhin bestehen.

Wie hoch die Zahl der Attacken, bei denen die vermeintliche Plesk-Lücke ausgenutzt wird, ist, kann man nur schwer schätzen. Der Sicherheitsanbieter Sucuri Malware Labs geht davon aus, dass eine jüngste Angriffswelle auf 50'000 Websites, deren Betreiber Plesk nutzen, dem Fehler geschuldet ist.

Viel mehr Schweizer Seiten verbreiten Malware

«Normalerweise registrieren wir täglich etwa 30 bis 40 Schweizer Websites, über die Malware verbreitet wird. Seit Anfang der Woche sind es schon 450 Domains. Wir gehen davon aus, dass dies mit dem Plesk-Problem zu tun hat», sagte Serge Droz, zur «NZZ». Er leitet die Sicherheitsabteilung der Stiftung Switch, die den Zugang der Schweiz zum Internet sicherstellt und als Registrierungsstelle für .ch-Domains fungiert.

«Wir erkennen zurzeit etwa sieben verschieden Gruppierungen, welche diese Schwachstelle aktiv ausnutzen. Die Angreifer verteilen verschieden Typen von Malware – wie das Black-Hole Kit und der Trojaner Milicenso (die Printerbombe) – auf den gehackten Webseiten», führte Droz weiter aus. «Diese Software wird dann gebraucht um Malware nachzuladen.» Man beobachte zurzeit ausserdem verstärkte Angriffe auf Schweizer eBanking-Angebote, sei sich aber nicht sicher, ob diese etwas mit dem erwähnten 0-Day-Angriff auf Plesk zu tun haben. Diese Attacken seien abgewehrt worden, es sei zu keinen Schäden gekommen. Von der Switch informierte Seitenbetreiber haben 24 Stunden Zeit, den Malware-Befall zu beheben, ehe die Domain blockiert wird.


Leserkommentare

Anzeige: