Atacantes ativamente exploit descoberto anteriormente vulnerabilidade no Oracle WebLogic

A vulnerabilidade recentemente fixo no Oracle WebLogic está ativamente explorada por cibercriminosos para instalação em servidores vulneráveis ​​dos mineiros criptomoeda.

To seu é uma vulnerabilidade desserialização (CVE-2019-2725) que permite que um atacante não autorizado para executar comandos remotamente.

problema foi descoberto em abril deste ano, quando os cibercriminosos já havia mostrado interesse nele. Oráculo vulnerabilidade fixa no final do mesmo mês, Contudo, De acordo com Trend Micro, atualmente é usado ativamente em ataques.

“Relatórios surgiram nos fóruns SANS ISC InfoSec que a vulnerabilidade já estava sendo ativamente explorada para instalar mineiros criptomoeda. Conseguimos confirmar esses relatórios após o feedback da arquitetura de segurança Trend Micro ™ Smart Protection Rede de ™ revelou uma atividade criptomoeda-mining semelhante envolvendo a vulnerabilidade”, - Relatório de especialistas da Trend Micro.

De acordo com os pesquisadores, com a ajuda da vulnerabilidade, atacantes instalar máquinas de mineração criptomoeda em computadores comprometidos. Para contornar detecção, eles se escondem códigos maliciosos em arquivos de certificado digital.

Uma vez executado no sistema, malwares explora a vulnerabilidade para executar comandos e uma série de tarefas. Primeiro, usando o PowerShell, arquivo certificado é carregado a partir de C&servidor C, e CertUtil, um instrumento legítimo, é usada para decifrá-lo. então, usando o PowerShell, este arquivo é executado no sistema de destino e excluídos usando cmd.

A cadeia de infecção
A cadeia de infecção

O certificado parece com um certificado regular no Enhanced-Privacidade mail (PEM) formato, mas toma forma de um comando PowerShell em vez do formato TLS X.509 habitual. Antes de receber um comando, o arquivo deve ser descriptografado duas vezes, o que é bastante incomum, porque a equipe explorar usa CertUtil apenas uma vez.

A idéia de usar arquivos de certificado para ofuscar o código malicioso não é um novo. Contudo, ataques reais usando este método não foram previamente detectados, e se eles ocorreu, eles são muito raros.

Vale lembrar que, Oracle já lançou uma atualização que resolve CVE-2019-2725. portanto, é altamente recomendado para organizações que usam o WebLogic Server para atualizar seu software para a versão mais recente para prevenir quaisquer ataques que exploram a vulnerabilidade de afetar seus negócios.

Fonte: https://blog.trendmicro.com

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

MageCart na Cloud Platform Heroku

Os investigadores encontraram vários MageCart Web Skimmers Em Heroku Cloud Platform

Pesquisadores da Malwarebytes informou sobre encontrar vários skimmers MageCart web na plataforma Heroku nuvem …

Android Spyware CallerSpy

máscaras spyware CallerSpy como uma aplicação de chat Android

Trend Micro especialistas descobriram a CallerSpy malwares, que mascara como uma aplicação de chat Android, …

Deixar uma resposta