Tin tặc lợi dụng lỗ hổng RCE trong WebLogic Server của Oracle để phát tán mã độc tống tiền
Một lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây trong máy chủ WebLogic Server của Oracle hiện đang được các tin tặc tích cực khai thác nhằm phát tán một biến thể mã độc mã hóa tống tiền có tên gọi là "Sodinokibi".
 |
| Tin tặc lợi dụng lỗ hổng RCE trong WebLogic Server của Oracle để phát tán mã độc tống tiền - CyberSec365.org |
Cụ thể, lỗ hổng này (có mã hiệu CVE-2019-2725) được phát hiện vào cuối tháng 4/2019, có thể cho phép tin tặc thực thi mã lệnh tùy ý lên các máy chủ WebLogic của Oracle chỉ với một truy vấn HTTP request được thiết kế đặc biệt mà không cần bất kỳ quyền nào.
Lỗ hổng bảo mật này đã ảnh hưởng đến tất cả các phiên bản Oracle WebLogic và được đánh giá mức độ nghiêm trọng là 9,8/10 điểm. Chỉ 1 ngày sau khi được công bố, Oracle đã phát hành bản cập nhật bảo mật cho lỗ hổng này.
Theo các nhà nghiên cứu bảo mật đến từ hãng bảo mật Cisco Talos, một nhóm tin tặc chưa xác định đã tiến hành khai thác lỗ hổng bảo mật CVE-2019-2725 ít nhất từ ngày 25/4/2019 nhằm phát tán đến các máy chủ một biến thể mã độc mã hóa tống tiền mới.
 |
| Tin tặc lợi dụng lỗ hổng RCE trong WebLogic Server của Oracle để phát tán mã độc tống tiền - CyberSec365.org |
Sodinokibi là một biến thể ransomware nguy hiểm được thiết kế để mã hóa các tập tin trong thư mục của người dùng và sau đó xóa các bản sao lưu bản sao từ hệ thống nhằm ngăn chặn nạn nhân lấy lại dữ liệu của họ mà không phải trả tiền chuộc.
Không cần tương tác để triển khai mã độc mã hóa tống tiền
Vì những kẻ tấn công đang tận dụng lỗ hổng thực thi mã từ xa trong Máy chủ WebLogic, không giống như các cuộc tấn công ransomware thông thường, việc triển khai phần mềm ransomware Sodinokibi không cần người dùng tương tác.
"Từ trước đến nay, hầu hết các loại ransomware đều yêu cầu một số hình thức tương tác người dùng, chẳng hạn như người dùng mở tệp đính kèm với email, nhấp vào liên kết độc hại hoặc chạy một phần mềm độc hại trên thiết bị", các nhà nghiên cứu giải thích trong một bài đăng trên blog .Sau khi tải xuống, phần mềm ransomware Sodinokibi mã hóa các hệ thống của nạn nhân và hiển thị một ghi chú tiền chuộc yêu cầu tới 2.500 USD bằng Bitcoin. Số tiền tăng gấp đôi lên 5.000 đô la nếu tiền chuộc không được trả trong một số ngày nhất định mà có thể thay đổi từ hai ngày đến sáu ngày.
"Trong trường hợp này, những kẻ tấn công chỉ đơn giản là tận dụng lỗ hổng Oracle WebLogic, khiến máy chủ bị ảnh hưởng tải xuống một bản sao của ransomware từ các địa chỉ IP do kẻ tấn công kiểm soát."
Tin tặc cũng đang cài đặt GandCrab Ransomware
Các nhà nghiên cứu cũng lưu ý rằng khoảng tám giờ sau khi triển khai Sodinokibi trên hệ thống bị nhiễm, những kẻ tấn công đã khai thác lỗ hổng WebLogic Server tương tự để cài đặt một phần mềm ransomware khác có tên là GandCrab (v5.2).
 |
| Tin tặc lợi dụng lỗ hổng RCE trong WebLogic Server của Oracle để phát tán mã độc tống tiền - CyberSec365.org |
Các nhà nghiên cứu cho biết: "Chúng tôi thấy lạ là những kẻ tấn công sẽ chọn phân phối các phần mềm ransomware khác nhau trên cùng một mục tiêu". "Sodinokibi là một biến thể mới của ransomware, có lẽ những kẻ tấn công cảm thấy những nỗ lực trước đó của họ đã không thành công và vẫn đang tìm cách kiếm tiền bằng cách phân phối Gandcrab."
Những kẻ tấn công đã khai thác lỗ hổng Oracle WebLogic Server ngay từ ngày 17 tháng 4 để phân phối các công cụ khai thác tiền điện tử và các loại phần mềm độc hại khác.
WebLogic Server là máy chủ ứng dụng doanh nghiệp đa tầng phổ biến dựa trên Java thường được các doanh nghiệp sử dụng để hỗ trợ các ứng dụng doanh nghiệp, điều này thường khiến đối tượng tấn công cố gắng thực hiện các hoạt động độc hại, như chạy các công cụ khai thác tiền điện tử và lây nhiễm ransomware.
Hiện tại, Oracle khuyến cáo các tổ chức sử dụng Oracle WebLogic Server phải đảm bảo cập nhật máy chủ của họ lên phiên bản phần mềm mới nhất càng sớm càng tốt.
Nguồn: The Hacker News
Không có nhận xét nào