Oracle某漏洞修复不彻底致更多设备沦为挖矿机
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全1月12日讯 Morphus Labs安全研究人员雷纳托·马里尼奥2018年1月7日发布报告揭露一系列针对PeopleSoft和WebLogic服务器的挖矿活动,多名攻击者利用Oracle修复的WebLogic WLS组件漏洞(CVE-2017-10271)执行批量数字货币挖矿活动。
SANS科技研究所研究主任约翰尼斯·乌尔里希发布分析报告指出,一名黑客赚取了至少611个门罗币,按当前价格来算总价约为22.6万美元(约合人民币148万元)。
Oracle漏洞修复不彻底引出更多问题
Oracle漏洞修复不彻底引出更多问题
乌尔里希称,攻击者似乎使用了中国安全研究人员在2017年12月底发布漏洞(CVE 2017-3506)利用PoC。2017年4月Oracle发布针对CVE 2017-3506的补丁后,由于修复不够完善出现了CVE-2017-10271漏洞。乌尔里希指出,这名中国研究人员在博文中讨论的漏洞CVE 2017-3506,其漏洞利用同样适用于这个后来出现的漏洞CVE-2017-10271。
乌尔里希表示,PoC发布不久,就有报道称攻击者利用该PoC安装加密货币挖矿程序,从由Digital Ocean、GoDaddy、Verizon Business Services和Athenix托管的服务器发起攻击。
影响范围
乌尔里希表示这一系列攻击不具有针对性,全球范围普遍受影响。一旦有人发布漏洞利用,普通的黑客也能使WebLogic/PeopleSoft服务器宕机。
乌尔里希表示,攻击者在722个易受攻击的WebLogic和PeopleSoft系统上安装了合法的门罗币挖矿软件包。其中许多系统在公共云服务上运行,超过140个系统在亚马逊AWS公共云中运行,少量服务器在其它托管及云服务上,有约30个服务器位于Oracle的公共云服务中。
漏洞(CVE 2017-3506)利用代码使扫描脆弱系统变得简单,因此整个公开暴露、未打补丁的Oracle Web应用服务器可能会快速沦为这些攻击的受害者。但由于挖矿工具的脚本会在目标服务器上杀死 “java”进程,这些挖矿活动很快就被研究人员发现。
攻击者在上述门罗币攻击中使用的安装程序是一个简单的bash脚本,发出命令寻找并杀死之前可能存在的其它区块链挖矿程序,并创建cron定时任务来下载并启动挖矿工具。
此次漏洞修复应该注意什么?
此次漏洞修复应该注意什么?
乌尔里希提醒受害者,不应简单为服务器打补丁和删除挖矿程序来修复服务器,因为老练的攻击者可能会利用更高级的攻击方式隐藏任务。这起案例使用的持久机制是cron定时任务,但不排除有其它更难以检测的持久机制,以达到长期控制目标设备的目的。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/1609874222.shtml
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容