Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode

Varias redes de bots explotan un error crítico de Oracle WebLogic

Varias botnets apuntan a miles de servidores Oracle WebLogic expuestos públicamente y aún sin parches para implementar mineros criptográficos y robar información confidencial de sistemas infectados.

Los ataques apuntan a una vulnerabilidad de WebLogic Server recientemente parcheada, que fue lanzada por Oracle como parte de su Actualización de parche crítico de octubre de 2020 y, posteriormente, nuevamente en noviembre ( CVE-2020-14750 ) en forma de seguridad fuera de banda parche.


En el momento de escribir este artículo, se puede acceder a unos 3.000 servidores Oracle WebLogic en Internet según las estadísticas del motor de búsqueda Shodan.

Oracle WebLogic es una plataforma para desarrollar, implementar y ejecutar aplicaciones Java empresariales en cualquier entorno de nube, así como en las instalaciones.

La falla, que se rastrea como CVE-2020-14882, tiene una puntuación CVSS de 9.8 de una calificación máxima de 10 y afecta a las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2 de WebLogic Server .1.4.0 y 14.1.1.0.0.

Aunque se ha abordado el problema, el lanzamiento del código de explotación de prueba de concepto ha convertido a las instancias vulnerables de Oracle WebLogic en un objetivo lucrativo para que los actores de amenazas recluten estos servidores en una botnet que roba datos críticos y despliegue cargas útiles de malware de segunda etapa.

Según Juniper Threat Labs , los operadores de la botnet DarkIRC están explotando esta vulnerabilidad RCE para propagarse lateralmente a través de la red, descargar archivos, registrar pulsaciones de teclas, robar credenciales y ejecutar comandos arbitrarios en máquinas comprometidas.

El malware también actúa como un cortador de Bitcoin que les permite cambiar las direcciones de la billetera bitcoin copiadas en el portapapeles a la dirección de la billetera bitcoin del operador, lo que permite a los atacantes redirigir las transacciones de Bitcoin.

Es más, un actor de amenazas con el nombre de “Freak_OG” ha estado vendiendo el malware DarkIRC actualmente en foros de piratería por $ 75 desde agosto.

Pero no es solo DarkIRC el que está explotando la vulnerabilidad del servidor WebLogic. En una campaña separada, detectada por ‘ 0xrb ‘ y detallada por el investigador Tolijan Trajanovski, ha surgido evidencia de una botnet que se propaga a través de la falla de WebLogic para entregar el minero de criptomonedas Monero y binarios Tsunami .

Además de usar SSH para el movimiento lateral, se ha descubierto que la botnet logra la persistencia a través de trabajos cron, elimina las herramientas de minería de la competencia e incluso desinstala las herramientas de detección y respuesta de endpoints (EDR) de Alibaba y Tencent.

Se recomienda que los usuarios apliquen la Actualización del parche crítico de octubre de 2020 y las actualizaciones asociadas con CVE-2020-14750 lo antes posible para mitigar los riesgos derivados de esta falla.

Oracle también ha proporcionado instrucciones para fortalecer los servidores al evitar el acceso externo a las aplicaciones internas accesibles en el puerto de Administración.

Vía: The Hacker News

Comentarios

comentarios

Dragora

Posts Relacionados

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Click to listen highlighted text!