Der Sturm im Wasserglas - „Nextcry“ und die angebliche Nextcloud-Sicherheitslücke

Anfang der Woche nutzte eine Python-basierte Ransomware aktiv eine mehrere Wochen alte Sicherheitslücke aus. Das Ziel: Nextcloud-Installationen.

vor 23 Tagen

Latest Post Storm in a teacup - or how "NextCry" tried to target Nextcloud by Oliver Pifferi

Anfang der Woche machte eine Nachricht die Runde, die in erster Instanz alle Nextcloud-Nutzer aufhorchen ließ: Wie unter anderem BleepingComputer.com berichtete, nutzte eine Python-basierte Ransomware aktiv eine mehrere Wochen alte Sicherheitslücke im Webserver NGINX und dem PHP-FPM-Modul aus. Das Ziel: Nextcloud-Installationen zu infiltrieren und deren Daten zu verschlüsseln. Diskussionen, ob nun auch Linux und vor allem Nextcloud als private Cloud-Lösung im Fokus digitaler „Bösewichter“ stehen, machten schnell die Runde. Ein wenig zu schnell, wenn man eben nicht alle Seiten der Medaille betrachtete.

Im Internet-Zeitalter wird vieles längst nicht so heiß gegessen wie es gekocht wird. Auf den ersten Blick rüttelte die Nachricht, die auch durch viele deutsche IT-Newsseiten geisterte, für den Moment an den Grundfesten der Idee hinter Nextcloud: Eine private Cloud, vor drei Jahren als Fork abgespalten von ownCloud, soll - wie auch Linux als Unterbau - plötzlich anfällig für einen Verschlüsselungstrojaner sein? Der Vorwurf, der da im Raum stand, barg einiges an Sprengkraft - verpuffte am Ende aber im Nirvana, um das Fazit dieses Beitrages einmal vorweg zu nehmen.

Unbekannter Malware-Code (c) Bleeping Computer

Die Geschichte begann, als ein Nextcloud-Nutzer namens xact64 in einem Forum bei Bleeping Computer einen Beitrag gepostet hat. Beim Synchronisieren seiner Nextcloud-Daten fiel ihm auf, dass die heruntergeladenen Dateien offenbar umbenannt und ergo verschlüsselt worden waren. Die schnelle Reaktion: Er isolierte den Server vom Rest des Netzwerkes. Michael Gillespie vom Malwarehunterteam untersuchte daraufhin eine Beispieldatei. Das Resultat: Ein als „Nextcry“ bezeichneter Schädling, der auf einem Python-Skript basiert, der über den pyinstaller innerhalb einer Linux ELF-Binärdatei kompiliert sein Dasein fristete. Nach einer genaueren Untersuchung stellte man dann fest, dass ein AES-Algorithmus mit einem 256-Bit-Schlüssel verwendet wurde, um die Dateien zu verschlüsseln. In „Zusammenarbeit“ mit einem 2048-Bit RSA-Schlüssel wurde zudem der 256-Bit-Schlüssel geschützt; dieser war wiederum innerhalb des Malware-Codes versteckt.

Schadcode "NextCry" (c) Bleeping Computer

Das restliche Verfahren war bekannt: Die Aufforderung, 0,025 Bitcoins (umgerechnet 210 US-Dollar) zu überweisen, erschien beim Versuch, die entsprechenden Dateien zu lesen - Stand heute konnte für das genannte Bitcoin-Wallet allerdings noch keine Transaktion festgestellt werden, was wohl auch an der eher geringen Verbreitung des Schädlings lag. Ein weiter Nutzer des Bleeping Computer-Forums schaute sich wiederum das Python-Skript genauer an und stellte fest, dass in der Tat Nextcloud-Instanzen im Fadenkreuz standen. Durch Auslesen der config.php-Datei konnten wiederum Systemvariablen ausgelesen werden, durch die wiederum das Löschen wichtiger Systemordner und die Verschlüsselung des „data“-Verzeichnisses, in dem Nextcloud seine Daten ablegt, erst möglich war. Sofern dieser Prozess durchlief, war eine Wiederherstellung der Daten über klassische Nextcloud-Mittel (Papierkorb) Stand jetzt nicht mehr möglich.

Schadcode "NextCry" - config.php (c) Bleeping Computer

Auf Rückfrage bei Nextcloud bestätigten sich die ersten Vermutungen, dass nicht Nextcloud selbst, sondern die Basis darunter eher das Problem darstellte. Das Unternehmen vermeldete bereits vor mehreren Wochen am 24. Oktober 2019 eine Sicherheitslücke in Zusammenspiel mit dem bei Nextcloud eher weniger genutzten Webserver NGINX und dem PHP-FPM (FastCGI Process Manager)-Modul. Die als CVE-2019-11043 bezeichnete Sicherheitslücke war in der Tat das mögliche Einfallstor für das Skript. Nutzer, die bereits auf den Nextcloud-Hinweis gehört und die entsprechenden Empfehlungen umgesetzt hatten, waren nicht betroffen - das empfohlene Update auf PHP 7.3.11 oder PHP 7.2.24 sorgte bereits für das Schließen der Sicherheitslücke. Laut Jos Poortvliet, Marketing Communications Manager bei Nextcloud, waren am Ende zwei (2!) private Server von 300.000 Instanzen betroffen - ein offizielles Statement dazu findet man auch hier.

Das Fazit am Ende: Auch, wenn der ein oder andere Marktbegleiter es gerne sehen würde (und genau dies öffentlich ausposaunte), so ist nicht im Quellcode von Nextcloud die Ursache dieser Ransomware zu suchen, sondern eben im System darunter. Das gleiche Szenario läßt sich sicherlich auf zig andere Lösungen - ob closed oder eben Open Source - portieren: Nutzt man ein System, welches nicht die aktuellsten Sicherheitsupdates installiert hat, läuft man eben in die Gefahr, dass eine der Sicherheitslücken eben ausgenutzt wird. Der ganze Fall kann so also als Sturm im Wasserglas, mit dem sich die ein oder andere Publikation vor dem Herauswerfen reißerischer Schlagzeilen vielleicht intensiver hätte beschäftigen sollen, verstanden werden. Am Ende geht nichts über ein aktuelles System - und ein (für den Notfall) funktionierendes Backup sowie das Bewußtsein, dass auch Linux-Systeme in der heutigen Zeit durchaus angreifbar sind!

English

Seeking for the English version of this text? Look here!

Oliver Pifferi

Published vor 23 Tagen