更多全球網路安全資訊盡在E安全官網www.easyaq.com
E安全1月12日訊 Morphus Labs安全研究人員雷納托·馬里尼奧2018年1月7日發佈報告揭露一系列針對PeopleSoft和WebLogic伺服器的挖礦活動, 多名攻擊者利用Oracle修復的WebLogic WLS組件漏洞(CVE-2017-10271)執行批量數字貨幣挖礦活動。
SANS科技研究所研究主任約翰尼斯·烏爾裡希發佈分析報告指出, 一名駭客賺取了至少611個門羅幣, 按當前價格來算總價約為22.6萬美元(約合人民幣148萬元)。
Oracle漏洞修復不徹底引出更多問題
烏爾裡希稱, 攻擊者似乎使用了中國安全研究人員在2017年12月底發佈漏洞(CVE 2017-3506)利用PoC。 2017年4月Oracle發佈針對CVE 2017-3506的補丁後, 由於修復不夠完善出現了CVE-2017-10271漏洞。
烏爾裡希表示, PoC發佈不久, 就有報導稱攻擊者利用該PoC安裝加密貨幣挖礦程式, 從由Digital Ocean、GoDaddy、Verizon Business Services和Athenix託管的伺服器發起攻擊。
影響範圍烏爾裡希表示這一系列攻擊不具有針對性,
烏爾裡希表示, 攻擊者在722個易受攻擊的WebLogic和PeopleSoft系統上安裝了合法的門羅幣挖礦套裝軟體。 其中許多系統在公共雲服務上運行, 超過140個系統在亞馬遜AWS公共雲中運行, 少量伺服器在其它託管及雲服務上, 有約30個伺服器位於Oracle的公共雲服務中。
漏洞(CVE 2017-3506)利用代碼使掃描脆弱系統變得簡單, 因此整個公開暴露、未打補丁的Oracle Web應用伺服器可能會快速淪為這些攻擊的受害者。 但由於挖礦工具的腳本會在目標伺服器上殺死 “java”進程, 這些挖礦活動很快就被研究人員發現。
攻擊者在上述門羅幣攻擊中使用的安裝程式是一個簡單的bash腳本,
此次漏洞修復應該注意什麼?
烏爾裡希提醒受害者, 不應簡單為伺服器打補丁和刪除挖礦程式來修復伺服器, 因為老練的攻擊者可能會利用更高級的攻擊方式隱藏任務。 這起案例使用的持久機制是cron定時任務, 但不排除有其它更難以檢測的持久機制, 以達到長期控制目標設備的目的。