Varias botnets apuntan a miles de servidores Oracle WebLogic expuestos públicamente y aún sin parches para implementar mineros criptográficos y robar información confidencial de sistemas infectados.
Los ataques apuntan a una vulnerabilidad de WebLogic Server recientemente parcheada, que fue lanzada por Oracle como parte de su Actualización de parche crítico de octubre de 2020 y, posteriormente, nuevamente en noviembre ( CVE-2020-14750 ) en forma de seguridad fuera de banda parche.
En el momento de escribir este artículo, se puede acceder a unos 3.000 servidores Oracle WebLogic en Internet según las estadísticas del motor de búsqueda Shodan.
Oracle WebLogic es una plataforma para desarrollar, implementar y ejecutar aplicaciones Java empresariales en cualquier entorno de nube, así como en las instalaciones.
La falla, que se rastrea como CVE-2020-14882, tiene una puntuación CVSS de 9.8 de una calificación máxima de 10 y afecta a las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2 de WebLogic Server .1.4.0 y 14.1.1.0.0.
Aunque se ha abordado el problema, el lanzamiento del código de explotación de prueba de concepto ha convertido a las instancias vulnerables de Oracle WebLogic en un objetivo lucrativo para que los actores de amenazas recluten estos servidores en una botnet que roba datos críticos y despliegue cargas útiles de malware de segunda etapa.
Según Juniper Threat Labs , los operadores de la botnet DarkIRC están explotando esta vulnerabilidad RCE para propagarse lateralmente a través de la red, descargar archivos, registrar pulsaciones de teclas, robar credenciales y ejecutar comandos arbitrarios en máquinas comprometidas.
El malware también actúa como un cortador de Bitcoin que les permite cambiar las direcciones de la billetera bitcoin copiadas en el portapapeles a la dirección de la billetera bitcoin del operador, lo que permite a los atacantes redirigir las transacciones de Bitcoin.
Es más, un actor de amenazas con el nombre de «Freak_OG» ha estado vendiendo el malware DarkIRC actualmente en foros de piratería por $ 75 desde agosto.
Pero no es solo DarkIRC el que está explotando la vulnerabilidad del servidor WebLogic. En una campaña separada, detectada por ‘ 0xrb ‘ y detallada por el investigador Tolijan Trajanovski, ha surgido evidencia de una botnet que se propaga a través de la falla de WebLogic para entregar el minero de criptomonedas Monero y binarios Tsunami .
Además de usar SSH para el movimiento lateral, se ha descubierto que la botnet logra la persistencia a través de trabajos cron, elimina las herramientas de minería de la competencia e incluso desinstala las herramientas de detección y respuesta de endpoints (EDR) de Alibaba y Tencent.
Se recomienda que los usuarios apliquen la Actualización del parche crítico de octubre de 2020 y las actualizaciones asociadas con CVE-2020-14750 lo antes posible para mitigar los riesgos derivados de esta falla.
Oracle también ha proporcionado instrucciones para fortalecer los servidores al evitar el acceso externo a las aplicaciones internas accesibles en el puerto de Administración.
Vía: The Hacker News
