Поделиться
Старая уязвимость в Oracle WebLogic позволяет установить в него криптомайнер
Китайская хакерская группировка использует две уязвимости в Oracle WebLogic 2017 г. и 2023 г. обнаружения, чтобы устанавливать криптомайнеры в память.
Запоздалый сигнал
Центр по защите инфраструктуры и кибербезопасности США (CISA) предписал госучреждениям до 24 июня установить обновления на инсталляции Oracle WebLogic Server для устранения высокоопасной уязвимости. Её уже активно эксплуатируют, поэтому CISA распорядился отнестись к ней со всей серьёзностью.
«Баг» CVE-2017-3506 (судя по индексу, выявленный и устранённый ещё семь лет назад) позволяет осуществлять инъекцию команд в операционную систему устройства, что в конечном счёте позволяет получить доступ к программным компонентам сервера и захватить над ним полный контроль.
Для этого злоумышленникам потребуется подготовить специальный HTTP-запрос со встроенным вредоносным документом в формате XML.
Уязвимость оценивается в 7,4 балла по шкале CVSS.
Криптоботнет за работой
В публикации CISA не указывается, кто именно эксплуатирует уязвимость и к чему это приводит.
Однако недавно компания Trend Micro опубликовала исследование, в котором указывается, что эту уязвимость активно использует китайская киберкриминальная группа 8220 Gang (она же Water Sigbin).
Согласно публикации Trend Micro, 8220 Gang уже с прошлого года использует уязвимости CVE-2017-3506 и CVE-2023-21839. Второй «баг» позволяет неаутентифицированному хакеру получить доступ к критическим данным сервера или ко всем данным Oracle WebLogic Server.
С помощью этих уязвимостей 8220 Gang скрыто устанавливает в память устройства бесфайловый криптомайнер, интегрируя тем самым заражённую машину в свой ботнет.
Для этого, в зависимости от операционной системы, используется либо шелл, либо скрипт PowerShell. Злоумышленники используют технику обфускации, которая включает шестнадцатеричное кодирование URL-адресов или отправку HTTP-пакетов через порт 443. Сам скрипт PowerShell и конечный batch-файл также защищены многослойным кодированием, позволяющим прятать вредоносный код среди невинных, на первый взгляд, компонентов скрипта.
«7,4 балла - недалёкий от критического показатель, и то, что данную уязвимость эксплуатирует «коммерческий» криптоботнет, может свидетельствовать о том, что степень угрозы выше, чем можно подумать, исходя из оценки CVSS», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ.
Эксперт указывает, что криминальные криптомайнеры имеют тенденцию забирать избыточное количество вычислительных ресурсов, на скомпрометированных серверах, заметно усложняя и замедляя выполнение основных задач.
Поделиться
Короткая ссылка
