×
oracleweblogic.png
En nyligen upptäckt noll-dag sårbarhet har missbrukats för över en vecka för att infektera Oracle WebLogic servrar med minst två delar av ransomware, säkerhet forskare från Cisco Talos har berättat ZDNet.
Skurkar har missbrukat denna noll-dag för att installera en ny del av ransomware som kallas Sodinokibi, men också versioner av de äldre och mer välkända GandCrab ransomware, i vissa fall.
Ineffektivt inriktning av WebLogic servrar
Dessa ransomware attacker är huvud-repas för experter från industrin.
Oracle WebLogic är en typ av webbserver som sitter mellan frontend och backend av storskaliga webbapplikationer och har en mycket begränsad och snäv räckvidd-att omdirigera web-förfrågningar till rätt del av en backend och resultat tillbaka till frontend.
Det är en mycket enkel, men ändå kraftfull, middleware verktyg, är lätt att backa upp, och lätt att installera på några minuter. På grund av detta, installera ransomware på Oracle WebLogic server är lika värdelös som tidigare ransomware-kampanjer som riktade Magento eller Drupal-sajter.
Ägare Server kan du enkelt återställa från backuper eller installera en server utan att förlora tillgång till känsliga filer eftersom de har bara att installera om några affärslogik apps, som de flesta av användarens data sparas någonstans inne i en databas, och säkert från ransomware.
“Det är som att installera ransomware på en webbserver,” Jaeson Schultz, Teknisk Ledare på Cisco Talos berättade ZDNet i ett e-postmeddelande. “På grund av detta, omfattningen av angrepp har vi undersökt var kraftigt begränsad.”
“I detta fall, offret hade fungerande backup, loggar, och även paket fångar av de störande aktivitet, som i hög grad bidragit till vår analys.”
WebLogic zero-day har nu fått en lapp
Enligt en rapport Schultz är laget som offentliggjordes i dag, angripare utnyttjas CVE-2019-2725, en zero-day i WebLogic är WLS9_ASYNC och WLS-WSAT-komponenter.
Sårbarhet upptäcktes av Kinesiska it-säkerhetsföretaget KnownSec 404 21 April förra söndagen.
Vid första, anfallare skannade internet för utsatta WebLogic servrar och bara testat zero-day effektivitet. Men under förra veckan, som proof-of-concept kod som blev mer allmänt tillgänglig, anfallare också börjat infektera Oracle WebLogic servrar med faktiska skadliga program.
Attackerna släppa ransomware började den 25 April, en dag före Oracle släppt en sällsynt out-of-band säkerhetsuppdateringen med en patch för WebLogic server ägare.
Angriparna utplacerade nya Sodinokibi ransomware
Talos sade att det inledningsvis såg en hacker gruppen att släppa den nya Sodinokibi ransomware stam, medan det i senare attacker de även installerat GandCrab ransomware, ibland med inriktning servrar tidigare infekterade med Sodinokibi bara några timmar innan.
“Ibland sinnen av cyber brottslingar är verkligen outgrundliga,” Schultz berättade ZDNet.
“Vi tycker att det är konstigt angriparna skulle välja att distribuera ytterligare, olika ransomware på samma mål. Sodinokibi att vara en ny smak av ransomware, kanske angriparna kände deras tidigare försök hade misslyckats och var fortfarande ute efter att tjäna pengar genom att distribuera Gandcrab.
“Vi har inte några hårda data som skulle upprätta det resonemang som ligger bakom attacken,” Schultz säger. “Men en möjlighet är att förövarna visste klockan rann ut på att kunna utnyttja denna Oracle WebLogic 0-dag, så de försökte att vinna så mycket som möjligt under den begränsade tid de hade till förfogande.
“Det kan också förklara varför angriparna försökte att använda två olika ransomware familjer på offrets nätverk.”
Bild: Cisco Talos
×
sodinokibi-ransom-note.jpg
Ägare Server bör uppdatera ASAP
Oracle WebLogic server ägare bör vara medveten om att varje gång som en WebLogic sårbarhet som har lämnats ut under det senaste, det har varit svårt misshandlade av cyber-kriminella grupper, och särskilt av dem som deltar i crypto-gruv-kampanjer.
Medan ransomware attacker kan vara värdelös när som syftar till att WebLogic servrar, ägare server bör ta dig tid att tillämpa Oracles senaste patch för att förhindra andra typer av attacker, som är säker på att komma, om vi ska lära oss något från tidigare attacker på WebLogic servrar.
Säkerhet
Ransomware: Den viktigaste lärdomen Maersk lärt sig från slåss NotPetya attack
Emotet gäng försöker bygga upp ett skal av sakernas internet enheter runt sin bank botnet
United Airlines täcker upp plats kameror följande passagerarnas integritet upprördhet
Google stövlar stora Android app-utvecklare från butiken för att bedriva massiv annons bedrägeri
Relaterade Ämnen:
Oracle
Säkerhet-TV
Hantering Av Data
CXO
Datacenter