Angreifer Exploits aktiv zuvor entdeckte Schwachstelle in Oracle WebLogic

Eine kürzlich feste Lücke in Oracle WebLogic wird aktiv von Cyber-Kriminellen für die Installation auf anfälligen Servern von Kryptowährung Bergarbeiter ausgebeutet.

Ties ist eine Deserialisierung Verwundbarkeit (CVE-2019-2725) das erlaubt einen nicht autorisierten Angreifer remote Befehle ausführen.

Problem wurde entdeckt im April dieses Jahres, wenn Cyber-Kriminelle hatten bereits Interesse gezeigt. Orakel feste Verwundbarkeit am Ende des gleichen Monats, jedoch, Gemäß Trend Micro, es derzeit aktiv in Attacken.

„Entstanden Berichte über die SANS ISC InfoSec Foren, dass die Verwundbarkeit bereits aktiv Kryptowährung Bergleute installieren ausgebeutet. Wir haben es geschafft, diese Berichte zu bestätigen, nachdem Feedback aus dem Trend Micro ™ Smart Protection Network ™ Sicherheitsarchitektur eine ähnliche Kryptowährung Bergbau Tätigkeit, die die Verwundbarkeit offenbart“, - Bericht Trend Micro-Spezialisten.

Nach Angaben der Forscher, mit Hilfe der Verwundbarkeit, Angreifer installieren Kryptowährung Bergbaumaschinen auf infizierten Computern. So umgehen Erkennung, sie verstecken bösartigen Code in digitalen Zertifikats-Dateien.

Einmal im System ausgeführt, Malware nutzt die Verwundbarkeit Befehle und eine Anzahl von Aufgaben auszuführen,. Zuerst, mit Powershell, Zertifikatdatei wird aus C geladen&C-Server, und CertUtil, ein legitimes Werkzeug, wird verwendet, um es zu entschlüsseln,. Dann, mit Powershell, Diese Datei wird auf dem Zielsystem ausgeführt und gelöscht mit cmd.

Die Infektionskette
Die Infektionskette

Das Zertifikat sieht wie ein normales Zertifikat in der Datenschutz-Enhanced Mail (PEM) Format, aber es nimmt Form eines Powershell-Befehl statt der üblichen X.509 TLS-Format. Vor dem Empfang eines Befehls, die Datei muss zweimal entschlüsselt werden, Das ist ziemlich ungewöhnlich, da das Exploit-Team nutzt CertUtil nur einmal.

Die Idee des Zertifikat-Dateien mit schädlichem Code zu verschleiern ist nicht neu. jedoch, echte Angriffe mit dieser Methode bisher nicht nachgewiesen, und wenn sie aufgetreten, sie sind sehr selten.

Es lohnt sich daran erinnern, dass, Oracle hat bereits eine Aktualisierung, die CVE-2019-2725-Adressen. Somit, es ist sehr für Organisationen empfohlen, die WebLogic Server verwenden, um ihre Software auf die neueste Version zu aktualisieren, um Angriffe zu verhindern, die die Anfälligkeit von Auswirkungen auf ihre Geschäfte ausnutzen.

Quelle: https://blog.trendmicro.com

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

MageCart auf der Heroku Cloud Platform

Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichteten über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, …

Android Spyware CallerSpy

CallerSpy Spyware Masken als Android-Chat-Anwendung

Trend Micro Experten entdeckt die Malware CallerSpy, die Masken als Android-Chat-Anwendung, und, …

Hinterlasse eine Antwort