Oprogramowanie

Luka Oracle, która wykonuje złośliwy kod, jest przedmiotem aktywnego ataku

Zrzut ekranu interfejsu Oracle.

Atakujący atakują niedawno załataną lukę w zabezpieczeniach Oracle WebLogic, która umożliwia im wykonanie wybranego przez nich kodu, w tym złośliwego oprogramowania, które czyni serwery częścią botnetu, który kradnie hasła i inne poufne informacje.

WebLogic to aplikacja korporacyjna Java, która obsługuje różne bazy danych. Serwery WebLogic są pożądaną nagrodą dla hakerów, którzy często używają ich do wydobywania kryptowaluty, instalowania oprogramowania ransomware lub jako sposób na uzyskanie dostępu do innych części sieci korporacyjnej. Shodan, usługa, która skanuje Internet w poszukiwaniu różnych platform sprzętowych lub programowych, znalazła około 3000 serwerów z aplikacją oprogramowania pośredniego.

CVE-2020-14882, w miarę śledzenia luki, jest krytyczną luką, którą Oracle załatała w październiku. Pozwala atakującym na wykonanie złośliwego kodu przez Internet przy niewielkim wysiłku lub umiejętnościach i bez uwierzytelniania. Działający kod exploita stał się publicznie dostępny osiem dni po wydaniu poprawki przez Oracle.

Według Paula Kimayonga, badacza z Juniper Networks, hakerzy aktywnie wykorzystują pięć różnych wariantów ataków, aby wykorzystać serwery, które pozostają podatne na CVE-2020-14882. Wśród odmian jest taka, która instaluje bota DarkIRC. Po zainfekowaniu serwery stają się częścią botnetu, który może instalować wybrane przez siebie złośliwe oprogramowanie, wydobywać kryptowalutę, kraść hasła i przeprowadzać ataki typu „odmowa usługi”. Szkodliwe oprogramowanie DarkIRC było dostępne do kupienia na podziemnych rynkach za 75 USD w październiku i prawdopodobnie nadal jest sprzedawane.

Inne warianty exploita instalują następujące inne ładunki:

  • Cobalt Strike
  • Perlbot
  • Meterpreter
  • Mirai

Ataki są tylko ostatnimi, które mają na celu wykorzystanie tej łatwej do wykorzystania luki. Dzień po opublikowaniu kodu exploita w Internecie badacze z Sans i Rapid 7 powiedzieli, że widzieli hakerów próbujących oportunistycznie wykorzystać CVE-2020-14882. Jednak w tamtym czasie osoby atakujące nie próbowały w rzeczywistości wykorzystać luki w zabezpieczeniach do zainstalowania złośliwego oprogramowania, a jedynie sprawdzić, czy serwer jest podatny na ataki.

CVE-2020-14882 dotyczy wersji WebLogic 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 i 14.1.1.0.0. Każdy, kto używa jednej z tych wersji, powinien natychmiast zainstalować poprawkę Oracle wydaną w październiku. Ludzie powinni również załatać CVE-2020-14750, oddzielną, ale powiązaną lukę, którą Oracle naprawił w awaryjnej aktualizacji dwa tygodnie po wydaniu poprawki dla CVE-2020-14882.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook