网络罪犯利用Oracle WebLogic缺陷
安全研究人员警告说,网络犯罪运动正在通过利用未被分配的oracle的融合中间件的缺陷部署Monero CryptoCurrency矿工。
全球活动正在使用最近发布的漏洞(CVE-2017-10271),由Oracle于2017年10月修补。
根据Morphus Labs的安全研究员的说法,利润很简单,并配备Bash脚本,以便易于扫描潜在的受害者。
该漏洞影响Oracle Fusion中间件的四个支持的版本 - 10.3.6.0.0,12.1.3.0.0,12.2.1.1.0和12.2.1.2.0 - 至少有一个不支持的版本(10.3.3.0)修补。
密码是用于生成比特币,monero和其他加密货币的过程。它需要大量的计算机处理能力,从而减慢性能。
随着加密货币价格开始飙升,特别是比特币,网络罪犯已经开始使用加密术来赚钱。
通常,唯一的迹象表明,机器被劫持到矿井加密货币的性能降低,CPU使用率的尖峰或温度不寻常增加。
然而,用于下载Monero-Moderation广告系列的矿工的丢弃脚本意外地杀死了目标机器上的WebLogic服务,这可能会提醒一些受害者,Marinho在Sans ISC Infosec论坛博客文章中写道。
据SANS技术研究所的研究院长Johannes Ullrich称,在12月份的攻击似乎已经开始于12月开始概念漏洞。
“联王的帖子可能不是第一个,但这看起来像是在这里讨论的攻击中使用的漏洞,而帖子似乎已经开始增加这个缺陷的兴趣,”他写在一个博客文章中。
根据Ullrich的说法,在广告系列中使用的矿工是XMRIG,这是一个为Monero的合法加密矿工。
被剥削的漏洞影响了WBLogic,但研究人员还发现了一些以同样的方式利用的PeopleSoft服务器。
仅在1月份,研究人员能够识别722台受影响的计算机,云提供商处具有很高的受影响的IP地址。
“这不是一个令人惊讶的是,许多组织正在向云移动最关键的数据,以使坏人更容易到达它,”乌里里希写道。
攻击似乎没有针对性,受害者在全球范围内分布在内,包括英国。“一旦开发出版,脚本技能有限的任何人都能够参与击败WebLogic(/ PeopleSoft)服务器,”他写道。
Ullrich表示,受害者不应该通过删除挖掘软件并修补他们的服务器来试图解决问题。“你的服务器很容易受到轻松执行的远程代码执行漏洞,”他写道。“很可能是更复杂的攻击者使用它来获得系统上的持久立足。”
研究人员还警告说,可以利用WebLogic漏洞来完成其他事情,因为它使任何未经身份验证的远程攻击者能够使用WebLogic Server用户的权限执行远程任意命令。
研究人员警告说,仍未安装补丁仍未安装修补程序的任何WebLogic和PeopleSoft服务器都可能是针对漏洞的攻击。
“在这种情况下,竞选目标是对挖掘加密货币,但是,当然,漏洞和利用可以用于其他目的,”马里尼霍斯说。“检查您的环境是否有关此漏洞,并且如有必要,请尽快应用补丁。”
他还建议组织通过仔细分析具有高和恒定的CPU消耗的流程,检查弱势环境是否可能已经受到损害。