Angribere aktivt udnytte tidligere opdaget sårbarhed i Oracle WebLogic

En nyligt fast sårbarhed i Oracle WebLogic aktivt udnyttet af cyberkriminelle til installation på sårbare servere cryptocurrency minearbejdere.

Than er en deserialization sårbarhed (CVE-2019-2725) der tillader en uautoriseret hacker at udføre kommandoer.

problem blev opdaget i april i år, når cyberkriminelle allerede havde vist interesse for det. Oracle fast sårbarhed i slutningen af ​​samme måned, imidlertid, Ifølge trend Micro, Det er i øjeblikket bruges aktivt i angreb.

”Rapporter opstod på SANS ISC INFOSEC fora, at sårbarheden allerede aktivt udnyttet til at installere cryptocurrency minearbejdere. Det lykkedes os at bekræfte disse rapporter efter feedback fra Trend Micro ™ Smart Protection Network ™ sikkerhedsarkitektur afslørede en lignende cryptocurrency-minedrift aktivitet, der involverer sårbarheden”, - rapport Trend Micro specialister.

Ifølge forskerne, med hjælp fra sårbarheden, angribere installere cryptocurrency minedrift maskiner på inficerede computere. At omgå detektion, de skjuler skadelig kode i digitale certifikat filer.

Når henrettet i systemet, malware udnytter sårbarheden til at udføre kommandoer og en række opgaver. Først, bruge PowerShell, certifikat fil indlæses fra C&C server, og CertUtil, et legitimt redskab, anvendes til at dekryptere den. derefter, bruge PowerShell, denne fil eksekveres på målet systemet og fjernes ved at bruge cmd.

Infektionen kæde
Infektionen kæde

Certifikatet ligner en almindelig certifikat i Beskyttelse-Enhanced Mail (PEM) format, men det tager form af en PowerShell-kommando i stedet for den sædvanlige X.509 TLS-format. Før at modtage en kommando, filen skal dekrypteres to gange, hvilket er helt usædvanligt, fordi den udnytter holdet bruger CertUtil kun én gang.

Tanken om at bruge certifikat filer til obfuscate skadelig kode er ikke ny. imidlertid, virkelige angreb ved hjælp af denne metode ikke tidligere opdaget, og hvis de opstod, de er meget sjældne.

Det er værd at minde om, at, Oracle har allerede udsendt en opdatering, der løser CVE-2019-2725. Dermed, det er stærkt anbefales til organisationer, der bruger WebLogic Server til at opdatere deres software til den nyeste version for at forhindre eventuelle angreb, der udnytter sårbarheden i at påvirke deres virksomheder.

Kilde: https://blog.trendmicro.com

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

MageCart på Heroku Cloud Platform

Forskere har fundet flere MageCart Web Forplove On Heroku Cloud Platform

Forskere ved Malwarebytes rapporteret om at finde flere MageCart web skummere på Heroku cloud-platform …

Android Spyware CallerSpy

CallerSpy spyware masker som en Android chat applikation

Trend Micro eksperter opdagede malware CallerSpy, hvilke masker som en Android chat program og, …

Skriv et svar