×
oracleweblogic.png
Una recente scoperta vulnerabilità zero-day è stato abusato per oltre una settimana per infettare Oracle WebLogic server con almeno due filoni di ransomware, i ricercatori di sicurezza di Cisco Talos ha detto a ZDNet.
Truffatori hanno abusato di questo “giorno zero” per installare un nuovo filone di ransomware chiamato Sodinokibi, ma anche le versioni più vecchie e più noto GandCrab ransomware, in alcuni casi.
Inefficiente di targeting di WebLogic server
Questi attacchi ransomware sono testa-graffio per gli esperti del settore.
Oracle WebLogic è un tipo di web server che si trova tra il frontend e il backend su larga scala di applicazioni web e molto limitato e ristretto campo –per reindirizzare le richieste web per la parte di back-end e restituire i risultati per il frontend.
Si tratta di un semplice, ma potente, middleware strumento, è facile per eseguire il backup, e facile da reinstallare in pochi minuti. A causa di questo, l’installazione ransomware su Oracle WebLogic server è inutile come passato ransomware campagne mirate, Magento e Drupal o siti.
I proprietari dei Server può facilmente ripristinare da backup o reinstallare un server senza perdere l’accesso ai file sensibili, poiché reinstallare un paio di logica di business, applicazioni, come la maggior parte dei dati dell’utente viene salvato da qualche parte all’interno di un database, e al sicuro da ransomware.
“È come l’installazione di ransomware su un server web,” Jaeson Schultz, dirigente Tecnico presso Cisco Talos detto a ZDNet in una e-mail. “A causa di questo, la portata dell’attacco che abbiamo studiato è stata fortemente limitata.”
“In questo caso, la vittima aveva funzionamento dei backup, log, e anche le acquisizioni di pacchetti di offendere attività, che ha notevolmente aiutato la nostra analisi.”
WebLogic zero-day ha ricevuto una patch
Secondo un rapporto Schultz team pubblicato oggi, gli aggressori hanno sfruttato la vulnerabilità CVE-2019-2725, uno zero-day in WebLogic del WLS9_ASYNC e WLS-WSAT componenti.
La vulnerabilità è stata scoperta dai Cinesi di cyber-sicurezza ditta KnownSec 404 su aprile 21, domenica scorsa.
In un primo momento, gli aggressori acquisita internet vulnerabili WebLogic server e testato solo il giorno zero dell’efficacia. Tuttavia, durante la scorsa settimana, come proof-of-concept codice è diventato più ampiamente disponibile, gli aggressori hanno anche iniziato a infettare Oracle WebLogic server con malware vero e proprio.
Gli attacchi di cadere ransomware è iniziato il 25 aprile, un giorno prima di Oracle ha rilasciato una rara out-of-band di sicurezza aggiorna con una patch per WebLogic server proprietari.
Attaccanti schierati nuovo Sodinokibi ransomware
Talos ha detto che inizialmente avvistato un gruppo di hacker cadere la nuova Sodinokibi ransomware ceppo, mentre in seguito gli attacchi hanno anche installato il GandCrab ransomware, a volte targeting server precedentemente infettati con Sodinokibi poche ore prima.
“A volte le menti dei criminali informatici sono davvero imperscrutabile,” Schultz detto a ZDNet.
“Ci sembra strano che gli aggressori avrebbero scelto di distribuire ulteriori, ransomware diverse sullo stesso bersaglio. Sodinokibi essere un nuovo sapore di ransomware, forse gli attaccanti sentito la loro precedenti tentativi erano stati vani e stavano ancora cercando di incassare distribuendo Gandcrab.
“Non abbiamo dati che permetterebbero di identificare il ragionamento che sta dietro l’attacco”, Schultz ha detto. “Tuttavia una possibilità è che gli attaccanti sapeva che l’orologio è in esecuzione su di essere in grado di sfruttare questa Oracle WebLogic 0-day e, quindi, cercando di trarre profitto risulta di grande importanza in quantità limitata di tempo che avevano a disposizione.
“Si potrebbe anche spiegare perché gli attaccanti cercato di distribuire due ransomware diverse famiglie della vittima di rete.”
Immagine: Cisco Talos
×
sodinokibi-ransom-note.jpg
I proprietari dei Server deve aggiornare al più presto
Oracle WebLogic server proprietari devono essere consapevoli che ogni volta che un WebLogic vulnerabilità che sono state rivelate in passato, è stato pesantemente abusato dai cyber-criminali di gruppi, e in particolare da coloro che sono coinvolti in crypto-mining campagne.
Mentre attacchi ransomware potrebbe essere inutile, quando rivolto a WebLogic server, server proprietari dovrebbero prendere il tempo per applicare Oracle recenti patch, per evitare altri tipi di attacchi, che sono sicuro di venire, se vogliamo imparare qualcosa dal passato di attacchi su WebLogic server.
Sicurezza
Ransomware: La lezione chiave Maersk imparato a combattere con i NotPetya attacco
Emotet gang sta cercando di costruire un guscio di dispositivi IoT intorno bancario botnet
United Airlines, che copre sede telecamere seguenti passeggero privacy, oltraggio
Google stivali maggiori Android sviluppatore di app store per condurre una massiccia frode annuncio
Argomenti Correlati:
Oracle
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati