قابلتوجه سازمانیهایی که از سامانه اتوماسیون مبتنی بر WebLogic استفاده میکنند: یک روز دیگر و یک کمپین جدید برای استخراج مونِرو؛ این بار مهاجمین یک رخنه امنیتی در میانافزار Oracle Fusion را موردحمله قراردادند.
آخرین گزارشی که توسط موسسه فنّاوری SANS در تاریخ ۷ ژوئن (۱۷ دیماه) منتشرشده بسیار شبیه به یک اتفاق عجیب در حوزه ارزهای دیجیتال بود. این گزارش نتیجه یافتههای یکی از محققین آزمایشگاه Morphus به نام Renato Marinho است که موفق به کشف یک حمله سایبری سراسری برای استخراج ارز دیجیتال مونرو شده است.
Marinho نشان داد که استخراجکنندگان مونرو بر روی صدها ماشینی مستقرشدهاند که توسط نقص موجود در نسخههای دارای پشتیبانی و بدون پشتیبانی از میانافزار Oracle Fusion موردحمله قرارگرفتهاند. در این حملات چندین مهاجم نقش داشتهاند که هدف اولیه آنها سرورهای Peoplesoft و Weblogic شرکت oracle بوده است.
مهاجمین از آسیبپذیری سرویسدهنده برنامه کاربردی تحت وب (CVE-2017-10271) استفاده نمودهاند که شرکت Oracle در اکتبر ۲۰۱۷ (مهرماه) وصله امنیتی مربوط به آن را منتشر کرده بود. برنامه اثبات آسیبپذیری این رخنه امنیتی توسط یک متخصص امنیت چینی به نام Lian Zhang در دسامبر ۲۰۱۷ (آذرماه) منتشر شد که احتمالاً توسط مهاجمین برای راهاندازی این کمپین مورداستفاده قرارگرفته است. بدین دلیل که با انتشار برنامه اثبات آسیبپذیری، گزارشهایی مربوط به نصب و راهاندازی استخراجکنندگان ارز دیجیتال منتشر شد که این گزارشها از سوی سرورهای مختلفی اعلام میشد که از قبل در معرض این آسیبپذیری بودند. این سرورها توسط شرکتهایی چون Athenix، GoDaddy و Digital Ocean میزبانی میشدند.
از زمانی که یک اسکریپت Bash ساده و مؤثر جهت شناسایی هدفهای آسیبپذیر مورداستفاده قرار گرفت، استفاده از این آسیبپذیری بسیار راحتتر شد. بر اساس گزارشها چهار نسخه از میانافزار Oracle Fusion دچار این آسیبپذیری بوده که شامل نسخههای ۱۰.۳.۶.۰.۰، ۱۲.۱.۳.۰.۰، ۱۲.۲.۱.۱.۰ و ۱۲.۲.۱.۲.۰ و یک نسخه بدون پشتیبانی و وصله نشده ۱۰.۳.۳.۰ است. Marinho به این نکته اشاره کرد که اسکریپت بار گذار استخراجکننده در این کمپین، سرویس Weblogic موجود در سیستمهای هدف را متوقف نموده که در برخی موارد باعث اطلاع قربانیان شده است. همچنین او نشان داد که این حملات از دسامبر و درست بعدازاینکه کد اثبات آسیبپذیری Zhang بهصورت عمومی منتشر شد شروعشده است.
در حال حاضر شواهدی مبنی بر از دست رفتن اطلاعات از سرورهایی که موردحمله قرارگرفتهاند به دست نیامده است و به نظر میرسد که هدف اصلی این حملات استخراج ارزهای رمزنگاریشده بوده است.
برحسب آنالیزهایی که توسط محقق SANS به نام Ulrich انجامشده است نزدیک به ۶۱۱ سکه دیجیتال مونرو به ارزش تقریبی ۲۲۶ هزار دلار توسط مهاجم استخراجشده است.
Ulrich به این نکته اشاره نمود که دامنه وسعت این کمپین بسیار گسترده است و این بدین معنی است که قربانیان نیز در سراسر دنیا دچار این آسیبپذیری میباشند. هرچند او فکر نمیکند که این یک کمپین هدفگذاری شده باشد چون با انتشار کد اثبات آسیبپذیری این رخنه امنیتی هرکسی که مهارتی اندک درزمینه اسکریپنویسی داشته باشد میتواند به سرورهای WebLogic/PeopleSoft حمله نماید.
مهاجم از یک بسته نرمافزار رسمی و قانونی استخراج مونرو به نام Monero mining که به نام xmrig تغییر نام دادهشده بود بر روی نزدیک به ۷۲۲ سرور آسیبپذیر استفاده کرده است. بیشتر این سرورها در سرورهای ابری عمومی مورداستفاده قرارگرفتهاند که بهعنوانمثال ۱۴۰ سرور از سرورهای ابری Amazon و نزدیک به ۳۰ سرور نیز از سرورهای ابری Oracle دچار این مشکل شدهاند.
Ulrich توصیه میکند که قربانیان دستورالعملهای مربوط به وصله این رخنه امنیتی را اجرا کرده و اقدام به حذف نرمافزار استخراجکننده از سرور خود نمایند.
منبع: HackRead
