Múltiples botnets que explotan un error crítico de Oracle WebLogic – PARCHE AHORA

Múltiples botnets se dirigen a miles de servidores Oracle WebLogic expuestos públicamente y aún sin parches para implementar criptomineros y robar información confidencial de los sistemas infectados.

Los ataques apuntan a una vulnerabilidad del servidor WebLogic parcheada recientemente, que Oracle lanzó como parte de su Actualización de parche crítico de octubre de 2020 y se volvió a intercambiar en noviembre (CVE-2020-14750) en forma de una seguridad fuera de banda. parche.

En el momento de escribir este artículo, se puede acceder a unos 3000 servidores Oracle WebLogic en Internet según las estadísticas del motor de búsqueda Shodan.

Oracle WebLogic es una plataforma para desarrollar, implementar y ejecutar aplicaciones Java empresariales en cualquier entorno de nube, así como en las instalaciones.

La falla, que se rastrea como CVE-2020-14882, tiene un puntaje CVSS de 9.8 de una calificación máxima de 10 y afecta las versiones de WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2 .1.4.0 y 14.1.1.0.0.

Aunque se ha abordado el problema, el lanzamiento de la prueba de concepto código de explotación ha convertido a las instancias vulnerables de Oracle WebLogic en un objetivo lucrativo para que los actores de amenazas recluten estos servidores en una botnet que roba datos críticos e implementa cargas útiles de malware de segunda etapa.

Según Juniper Threat Labs, los operadores de la botnet DarkIRC están explotando esta vulnerabilidad RCE para propagarse lateralmente a través de la red, descargar archivos, registrar pulsaciones de teclas, robar credenciales y ejecutar comandos arbitrarios en máquinas comprometidas.

El malware también actúa como un recortador de Bitcoin que les permite cambiar las direcciones de billetera de Bitcoin copiadas en el portapapeles a la dirección de billetera de Bitcoin del operador, lo que permite a los atacantes redirigir las transacciones de Bitcoin.

Además, un actor de amenazas con el nombre de «Freak_OG» ha estado vendiendo el malware DarkIRC actualmente en foros de piratería por $ 75 desde agosto.

Pero no es solo DarkIRC el que está explotando la vulnerabilidad del servidor WebLogic. En una campaña separada, descubierta por ‘0xrb‘y detallado por el investigador Tolijan Trajanovski: ha surgido evidencia de una botnet que se propaga a través de la falla de WebLogic para entregar el minero de criptomonedas Monero y los binarios de Tsunami.

Además de usar SSH para el movimiento lateral, se ha descubierto que la botnet logra la persistencia a través de trabajos cron, elimina las herramientas de minería de la competencia e incluso desinstala las herramientas de detección y respuesta de puntos finales (EDR) de Alibaba y Tencent.

Se recomienda que los usuarios apliquen la actualización del parche crítico de octubre de 2020 y las actualizaciones asociadas con CVE-2020-14750 lo antes posible para mitigar los riesgos derivados de esta falla.

Oracle también ha proporcionado instrucciones para fortalecer los servidores evitando el acceso externo a las aplicaciones internas accesibles en el puerto de administración.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática