Hacker missbrauchen Fehlkonfiguration in KI-Tool – Sysdig deckt Angriff auf Open WebUI auf

24. Juni 2025

Ein falsch konfiguriertes KI-Tool wurde jüngst zum Einfallstor für Cyberkriminelle: Das Sysdig Threat Research Team (TRT) beobachtete einen gezielten Angriff auf ein öffentlich zugängliches System, auf dem Open WebUI betrieben wurde – eine populäre, selbst gehostete Schnittstelle zur Interaktion mit großen Sprachmodellen (LLMs), die auf GitHub über 95.000 Sterne zählt.

Die betroffene Instanz war irrtümlich ohne Authentifizierung und mit Administratorrechten über das Internet erreichbar. Dies nutzte der Angreifer aus, um ein speziell entwickeltes, KI-generiertes Python-Skript hochzuladen und über die Open WebUI-Funktion zur Erweiterung von LLMs auszuführen. Ziel: die Installation von Cryptominern sowie die Einrichtung eines Command-and-Control-Kanals über einen Discord-Webhook.

Besonders alarmierend: Die Windows-spezifische Payload zeigte eine hohe Raffinesse. Sie agierte als Loader für weitere Malware, darunter Infostealer, die gezielt Chrome-Erweiterungen und Discord-Token ins Visier nahmen. Eingesetzte Tarnmechanismen wie XOR-verschlüsselte DLLs, Named-Pipe-Kommunikation und Anti-Debugging-Techniken erschwerten die Entdeckung. Bei VirusTotal blieben Teile der Schadsoftware nahezu unentdeckt – eine Komponente wurde nur von einem von 73 Scannern erkannt.

Die Angreifer gingen äußerst systematisch vor. Statt die grafische Oberfläche von Open WebUI manuell zu nutzen, kamen vermutlich automatisierte Skripte zum Einsatz, um den bösartigen Code als Tool hochzuladen. Die breite Verfügbarkeit des Tools im Internet verstärkt die Brisanz: Laut Shodan sind aktuell über 17.000 öffentlich erreichbare Instanzen von Open WebUI gelistet – viele davon potenziell fehlkonfiguriert.

Sysdig gelang es dennoch, den Angriff in Echtzeit zu erkennen – durch ein Zusammenspiel aus YARA-Regeln, LD_PRELOAD-Injektionswarnungen und verdächtigen DNS-Anfragen. Der Fall unterstreicht die wachsenden Risiken unsicher konfigurierter KI-Anwendungen und zeigt, wie Angreifer zunehmend auf KI-Ökosysteme abzielen, um automatisierte Angriffe durchzuführen.

Fazit: Die Kombination aus KI-generiertem Schadcode und offener, unsicher konfigurierter Infrastruktur macht deutlich: Wer KI-Systeme einsetzt, muss Sicherheitskonzepte von Anfang an mitdenken – insbesondere beim Einsatz von Tools wie Open WebUI, die LLMs erweitern und automatisiert Code ausführen können.

Angriffspfad unter Linux

Das folgende Diagramm veranschaulicht den Angriffspfad während der Ausführung des Codes unter Linux:

Das Skript kopiert sich selbst in den versteckten Ordner „.config“ im Home-Verzeichnis des Opfers, bevor es den Rest der Payload ausführt.

Angriffspfad unter Windows

Das folgende Diagramm zeigt den Angriffspfad während der Ausführung des Codes unter Windows:

Fazit

Versehentliche Fehlkonfigurationen, durch die Systeme wie Open WebUI dem Internet ausgesetzt sind, bleiben ein ernstes Problem. In diesem Fall ermöglichte eine Fehlkonfiguration Angreifern das Hochladen und Ausführen eines bösartigen, KI-generierten Python-Skripts. Die Payload lud Cryptominer herunter, verwendete ungewöhnliche Tools zur Umgehung von Abwehrmaßnahmen wie Processhider und Argvhider und nutzte einen Discord-Webhook für Befehls- und Kontrollzwecke. Der Angreifer zielte sowohl auf Linux- als auch auf Windows-Systeme ab, wobei die Windows-Version ausgefeilte Infostealer– und Umgehungstechniken enthielt. Um komplexe Bedrohungen wie die in dieser Operation zu entdecken und darauf zu reagieren, ist eine Laufzeitsicherheit mit mehrschichtiger Bedrohungserkennung unerlässlich.

Bild/Quelle: https://depositphotos.com/de/home.html