Per Fax gestellte Anfrage führt zum Hack von Metasploit

Eine pro-palästinensische Hackergruppe hat vor einigen Tagen die Websites von Metasploit und Rapid7 gehackt. Der Entwickler von Metasploit, HD Moore, bestätigte via Twitter, dass metasploit.com mit Hilfe eines gefälschten Antrags auf Änderung des DNS-Eintrags gehackt wurde, der dem Registrar der Website, register.com, per Fax gestellt worden war.

„Hacken wie im Jahre 1964“, schrieb Moore auf Twitter.

Die als KDMS bekannte Hackergruppe tauschte die DNS-Einstellung gegen die Adressen von Seiten aus, auf denen sie sich in einer Mitteilung zu diesem Hack und der Übernahme von Websites anderer Unternehmen bekennt, die ebenfalls zur IT-Sicherheitsbranche gehören.

„Ihr seid eines unserer Ziele“, schrieb die Gruppe, „und wir sind schon da.“ Zudem hinterließen die Hacker eine politisch motivierte Botschaft in Bezug auf Palästina.

Laut Moore wurde das Problem des Austauschs der DNS-Einträge innerhalb einer Stunde gelöst.

„Wir haben Maßnahmen ergriffen, um dem Problem auf den Grund zu gehen und jetzt sind beide Site zuverlässig geschützt.“, heißt es bei Rapid7. „Wir entschuldigen uns für den Ausfall unseres Services und erwarten keine weiteren negativen Auswirkungen für unser Anwender und Kunden. Wir werden Sie über alles informieren, was wir in Erfahrung bringen, und werden es die Community wissen lassen, wenn irgendetwas zu tun ist.“

In einem anderen Tweet warnt Moore die Leser, dass die Hackergruppe die Möglichkeit hat, die Adresse jeder beliebigen Website auszutauschen, die bei dem Registrar register.com registriert ist. Er bestätigte zudem, dass die DNS-Einstellungen für metasploit und Rapid7 zeitweise auf 74[.]53[.]46[.]114 verwiesen.

Früher in dieser Woche übernahm KDMS bereits die Verantwortung für eine ähnliche Attacke auf einen anderen Registrar – Network Solutions. Die Gruppe konnte die von Network Solutions verwalteten DNS-Einträge für die Websites einiger IT-Sicherheitsunternehmen ändern und den Traffic auf einen von ihr kontrollierten Server umleiten.

Leaseweb, ein großer Hosting-Provider, teilte vergangenen Montag mit, dass schädliche Aktivität im Unternehmensnetzwerk entdeckt worden sei. Den Hackern ist es gelungen, den Traffic von leaseweb.com durch den Austausch der DNS-Einträge auf einen anderen umzuleiten.

„Interne Systeme wurden nicht kompromittiert.“, schreibt Leaseweb in seinem Blog. „Eine Maßnahme besteht darin, dass wir die Kundendaten von den allgemein zugänglichen Servern getrennt verwahren, und es gibt keinerlei Hinweise darauf, dass die Daten unserer Kunden in Folge des Austauschs der DNS-Einträge kompromittiert wurden.“

Ursprünglich hieß es, der Angriff auf Leaseweb wurde mit Hilfe eines Exploits zu einer Sicherheitslücke im Abrechnungssystem WHMcs durchgeführt, doch Leaseweb dementierte das.

„Es scheint, als hätten die Hacker das Passwort des Domain-Administrators in Erfahrung gebracht und es verwendet, um sich Zugriff auf den Registrar zu verschaffen.“, teilte Leaseweb mit.

Quellethreat post

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.