اخبار

رخنه امنیتی در WebLogic شرکت Oracle به ارزش ۲۲۶ هزار دلار!

قابل‌توجه سازمانی‌هایی که از سامانه اتوماسیون مبتنی بر WebLogic استفاده می‌کنند: یک روز دیگر و یک کمپین جدید برای استخراج مونِرو؛ این بار مهاجمین یک رخنه امنیتی در میان‌افزار Oracle Fusion را موردحمله قراردادند.

آخرین گزارشی که توسط موسسه فنّاوری SANS در تاریخ ۷ ژوئن (۱۷ دی‌ماه) منتشرشده بسیار شبیه به یک اتفاق عجیب در حوزه ارزهای دیجیتال بود. این گزارش نتیجه یافته‌های یکی از محققین آزمایشگاه Morphus به نام Renato Marinho است که موفق به کشف یک حمله سایبری سراسری برای استخراج ارز دیجیتال مونرو شده است.

Marinho نشان داد که استخراج‌کنندگان مونرو بر روی صدها ماشینی مستقرشده‌اند که توسط نقص موجود در نسخه‌های دارای پشتیبانی و بدون پشتیبانی از میان‌افزار Oracle Fusion موردحمله قرارگرفته‌اند. در این حملات چندین مهاجم نقش داشته‌اند که هدف اولیه آن‌ها سرورهای Peoplesoft و Weblogic شرکت oracle بوده است.

مهاجمین از آسیب‌پذیری سرویس‌دهنده برنامه کاربردی تحت وب (CVE-2017-10271) استفاده نموده‌اند که شرکت Oracle در اکتبر ۲۰۱۷ (مهرماه) وصله امنیتی مربوط به آن را منتشر کرده بود. برنامه اثبات آسیب‌پذیری این رخنه امنیتی توسط یک متخصص امنیت چینی به نام Lian Zhang در دسامبر ۲۰۱۷ (آذرماه) منتشر شد که احتمالاً توسط مهاجمین برای راه‌اندازی این کمپین مورداستفاده قرارگرفته است. بدین دلیل که با انتشار برنامه اثبات آسیب‌پذیری، گزارش‌هایی مربوط به نصب و راه‌اندازی استخراج‌کنندگان ارز دیجیتال منتشر شد که این گزارش‌ها از سوی سرورهای مختلفی اعلام می‌شد که از قبل در معرض این آسیب‌پذیری بودند. این سرورها توسط شرکت‌هایی چون Athenix، GoDaddy و Digital Ocean میزبانی می‌شدند.

از زمانی که یک اسکریپت Bash ساده و مؤثر جهت شناسایی هدف‌های آسیب‌پذیر مورداستفاده قرار گرفت، استفاده از این آسیب‌پذیری بسیار راحت‌تر شد. بر اساس گزارش‌ها چهار نسخه از میان‌افزار Oracle Fusion دچار این آسیب‌پذیری بوده که شامل نسخه‌های ۱۰.۳.۶.۰.۰، ۱۲.۱.۳.۰.۰، ۱۲.۲.۱.۱.۰ و ۱۲.۲.۱.۲.۰ و یک نسخه بدون پشتیبانی و وصله نشده ۱۰.۳.۳.۰ است. Marinho به این نکته اشاره کرد که اسکریپت بار گذار استخراج‌کننده در این کمپین، سرویس Weblogic موجود در سیستم‌های هدف را متوقف نموده که در برخی موارد باعث اطلاع قربانیان شده است. همچنین او نشان داد که این حملات از دسامبر و درست بعدازاینکه کد اثبات آسیب‌پذیری Zhang به‌صورت عمومی منتشر شد شروع‌شده است.

در حال حاضر شواهدی مبنی بر از دست رفتن اطلاعات از سرورهایی که موردحمله قرارگرفته‌اند به دست نیامده است و به نظر می‌رسد که هدف اصلی این حملات استخراج ارزهای رمزنگاری‌شده بوده است.

برحسب آنالیز‌هایی که توسط محقق SANS به نام Ulrich انجام‌شده است نزدیک به ۶۱۱ سکه دیجیتال مونرو به ارزش تقریبی ۲۲۶ هزار دلار توسط مهاجم استخراج‌شده است.

Ulrich به این نکته اشاره نمود که دامنه وسعت این کمپین بسیار گسترده است و این بدین معنی است که قربانیان نیز در سراسر دنیا دچار این آسیب‌پذیری می‌باشند. هرچند او فکر نمی‌کند که این یک کمپین هدف‌گذاری شده باشد چون با انتشار کد اثبات آسیب‌پذیری این رخنه امنیتی هرکسی که مهارتی اندک درزمینه اسکریپ‌نویسی داشته باشد می‌تواند به سرورهای WebLogic/PeopleSoft حمله نماید.

مهاجم از یک بسته نرم‌افزار رسمی و قانونی استخراج مونرو به نام Monero mining که به نام xmrig تغییر نام داده‌شده بود بر روی نزدیک به ۷۲۲ سرور آسیب‌پذیر استفاده کرده است. بیشتر این سرورها در سرورهای ابری عمومی مورداستفاده قرارگرفته‌اند که به‌عنوان‌مثال ۱۴۰ سرور از سرورهای ابری Amazon و نزدیک به ۳۰ سرور نیز  از سرورهای ابری Oracle دچار این مشکل شده‌اند.

Ulrich توصیه می‌کند که قربانیان دستورالعمل‌های مربوط به وصله این رخنه امنیتی را اجرا کرده و اقدام به حذف نرم‌افزار استخراج‌کننده از سرور خود نمایند.

 

منبع: HackRead

رخنه امنیتی در WebLogic شرکت Oracle به ارزش ۲۲۶ هزار دلار!

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top