چندین باتنت هزاران سرور Oracle WebLogic را که در معرض دید عموم قرار دارند و هنوز وصله نشدهاند برای استقرار ماینرهای رمزنگاری و سرقت اطلاعات حساس از سیستمهای آلوده هدف قرار دادهاند.
هدف این حملات آسیبپذیری اخیراً وصله شده WebLogic Server است که توسط Oracle به عنوان بخشی از بروزرسانی Patch حیاتی در اکتبر 2020 منتشر شد و متعاقباً در ماه نوامبر (CVE-2020-14750) به صورت یک وصله امنیتی out-of-band.
تا این زمان حدود 3000 سرور Oracle WebLogic بر اساس آمار موتور جستجوی Shodan در اینترنت قابل دسترس هستند.
Oracle WebLogic بستری برای توسعه، استقرار و اجرای برنامههای سازمانی جاوا در هر محیط ابری و همچنین داخلی است.
این نقص که با عنوان CVE-2020-14882 ردیابی میشود، دارای نمره CVSS 9.8 از حداکثر امتیاز 10 است و بر نسخههای 10.3.6.0.0 ، 12.1.3.0.0 ، 12.2.1.3.0 ، 12.2 .1.4.0 و 14.1.1.0.0 وب سرور WebLogic تأثیر میگذارد.
به گفته آزمایشگاههای Juniper Threat اپراتورهای DarknetC botnet از این آسیبپذیری RCE برای گسترش جانبی شبکه، بارگیری پروندهها، ضبط کلیدها، سرقت اطلاعات، و اجرای دستورات دلخواه در دستگاههای در معرض خطر استفاده میکنند.
این بدافزار همچنین به آنها امکان میدهد آدرس کیف پول بیتکوین کپی شده در کلیپبورد را به آدرس کیف پول بیتکوین اپراتور تغییر دهند و به مهاجمان اجازه میدهد تا معاملات بیتکوین را تغییر مسیر دهند.
علاوه بر این، یک شخص به نام "Freak_OG" از ماه آگوست بدافزار DarkIRC را در حال حاضر در انجمنهای هکری با قیمت 75 دلار به فروش میرساند.
علاوه بر استفاده از SSH برای حرکت جانبی، مشخص شده است که باتنت از طریق cron jobs به پایداری میرسد، ، ابزارهای استخراج رقیب را از بین میبرد و حتی ابزارهای شناسایی و پاسخ (Endpoint (EDR را از Alibaba و Tencent حذف نصب میکند
توصیه میشود کاربران در اسرع وقت برای کاهش خطرات ناشی از این نقص، از بروزرسانی Patch حیاتی اکتبر 2020 و بروزرسانیهای مرتبط با CVE-2020-14750 استفاده کنند.
هدف این حملات آسیبپذیری اخیراً وصله شده WebLogic Server است که توسط Oracle به عنوان بخشی از بروزرسانی Patch حیاتی در اکتبر 2020 منتشر شد و متعاقباً در ماه نوامبر (CVE-2020-14750) به صورت یک وصله امنیتی out-of-band.
تا این زمان حدود 3000 سرور Oracle WebLogic بر اساس آمار موتور جستجوی Shodan در اینترنت قابل دسترس هستند.
Oracle WebLogic بستری برای توسعه، استقرار و اجرای برنامههای سازمانی جاوا در هر محیط ابری و همچنین داخلی است.
این نقص که با عنوان CVE-2020-14882 ردیابی میشود، دارای نمره CVSS 9.8 از حداکثر امتیاز 10 است و بر نسخههای 10.3.6.0.0 ، 12.1.3.0.0 ، 12.2.1.3.0 ، 12.2 .1.4.0 و 14.1.1.0.0 وب سرور WebLogic تأثیر میگذارد.
به گفته آزمایشگاههای Juniper Threat اپراتورهای DarknetC botnet از این آسیبپذیری RCE برای گسترش جانبی شبکه، بارگیری پروندهها، ضبط کلیدها، سرقت اطلاعات، و اجرای دستورات دلخواه در دستگاههای در معرض خطر استفاده میکنند.
این بدافزار همچنین به آنها امکان میدهد آدرس کیف پول بیتکوین کپی شده در کلیپبورد را به آدرس کیف پول بیتکوین اپراتور تغییر دهند و به مهاجمان اجازه میدهد تا معاملات بیتکوین را تغییر مسیر دهند.
علاوه بر این، یک شخص به نام "Freak_OG" از ماه آگوست بدافزار DarkIRC را در حال حاضر در انجمنهای هکری با قیمت 75 دلار به فروش میرساند.
علاوه بر استفاده از SSH برای حرکت جانبی، مشخص شده است که باتنت از طریق cron jobs به پایداری میرسد، ، ابزارهای استخراج رقیب را از بین میبرد و حتی ابزارهای شناسایی و پاسخ (Endpoint (EDR را از Alibaba و Tencent حذف نصب میکند
توصیه میشود کاربران در اسرع وقت برای کاهش خطرات ناشی از این نقص، از بروزرسانی Patch حیاتی اکتبر 2020 و بروزرسانیهای مرتبط با CVE-2020-14750 استفاده کنند.