Das Sysdig Threat Research Team (TRT) hat kürzlich einen Vorfall beobachtet, bei dem ein Angreifer gezielt ein falsch konfiguriertes System ausnutzte, auf dem die Open WebUI-Anwendung betrieben wurde. Open WebUI ist eine weit verbreitete, selbst gehostete Benutzeroberfläche zur Erweiterung von großen Sprachmodellen (LLMs). Durch die fehlerhafte Konfiguration konnte der Angreifer Schadcode einschleusen und einen Cryptominer installieren.

Zentrale Erkenntnisse:

• Open WebUI war unbeabsichtigt öffentlich zugänglich und ermöglichte den Zugriff mit Administratorrechten.
• Ein vom Angreifer hochgeladenes, KI-generiertes Python-Skript wurde über die Open WebUI-Plattform ausgeführt und zielte sowohl auf Linux- als auch auf Windows-Systeme ab.
• Die Windows-spezifische Schadsoftware war besonders raffiniert und schwer zu entdecken.
• Für die Kommunikation und Steuerung nutzte der Angreifer einen Discord-Webhook. Darüber hinaus wurden Cryptominer nachgeladen.
• Der Angreifer setzte selten eingesetzte Tools ein, um Sicherheitsmechanismen zu umgehen und seine Aktivitäten zu verschleiern – wurde jedoch dank der sofort aktiven Echtzeiterkennung von Sysdig entdeckt.

Erstzugriff durch Fehlkonfiguration

Die Analyse des Sysdig TRT ergab, dass ein Trainingssystem eines Kunden, auf dem Open WebUI lief, versehentlich ohne Authentifizierung und mit Administratorrechten online gestellt wurde. Dadurch war es potenziellen Angreifern möglich, beliebige Befehle auf dem System auszuführen – eine kritische Sicherheitslücke, die aktiv ausgenutzt wurde. Nach dem Auffinden der offenen Instanz nutzten die Angreifer die Plug-in-Funktionalität von Open WebUI, um ein bösartiges Python-Skript hochzuladen. Dieses diente dazu, die Funktionalität der zugrunde liegenden LLMs zu manipulieren. Wahrscheinlich wurde dieser Vorgang automatisiert, ohne dass die Benutzeroberfläche manuell genutzt wurde. Die Tatsache, dass Open WebUI-Instanzen öffentlich erreichbar sind, ist nicht ungewöhnlich. Eine aktuelle Shodan-Suche zeigt mehr als 17.000 offen zugängliche Instanzen. Unklar bleibt jedoch, wie viele davon ebenfalls falsch konfiguriert oder verwundbar sind.

Abbildung: Shodan-Abfrage mit über 17.000 öffentlich zugänglichen Open WebUI-Instanzen (Quelle: Sysdig, Inc.)

Fazit

Fehlkonfigurationen, die Systeme wie Open WebUI ungeschützt im Internet verfügbar machen, stellen ein erhebliches Sicherheitsrisiko dar. In diesem Fall konnten Angreifer ein KI-generiertes, schädliches Python-Skript hochladen und ausführen. Die eingesetzte Payload installierte Cryptomining-Software, nutzte seltene Tools wie Processhider und Argvhider zur Tarnung und kommunizierte über einen Discord-Webhook. Besonders die Windows-Variante zeichnete sich durch ausgefeilte Funktionen zum Informationsdiebstahl und zur Umgehung von Sicherheitsmaßnahmen aus. Solche Angriffe verdeutlichen, wie wichtig es ist, Systeme richtig zu konfigurieren und mit einer modernen, mehrschichtigen Runtime-Sicherheitslösung auszustatten, um auch komplexe Bedrohungen frühzeitig zu erkennen und abzuwehren.