نصب بدافزار کاوش رمزارز
سوءاستفاده از آسیب‌پذیری در Oracle WebLogic Server
کد مطلب: 15450
تاریخ انتشار : چهارشنبه ۲۲ خرداد ۱۳۹۸ ساعت ۱۱:۰۰
 
کارشناسان امنیتی ترندمیکرو از خطر نصب بدافزار کاوش رمزارز از راه یک آسیب‌پذیری در سرورهای Oracle WebLogic خبر دادند.
سوءاستفاده از آسیب‌پذیری در Oracle WebLogic Server
 
 
Share/Save/Bookmark
کارشناسان امنیتی ترندمیکرو از خطر نصب بدافزار کاوش رمزارز از راه یک آسیب‌پذیری در سرورهای Oracle WebLogic خبر دادند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران ترندمیکرو اخیرا یک عملیات سایبری را شناسایی کرده‌اند که در آن از آسیب‌پذیری CVE-۲۰۱۹-۲۷۲۵ در Oracle WebLogic Server سوء‌استفاده شده‌است تا بدافزار استخراج‌کننده رمزارز منتقل شود.

آسیب‌پذیری CVE-۲۰۱۹-۲۷۲۵ نقصی است که به‌راحتی قابل بهره‌برداری است و هر مهاجم احرازهویت نشده با دسترسی HTTP به سرور آسیب‌پذیر می‌تواند از آن سوء‌استفاه کند.

در حملاتی که اخیرا گزارش شده‌است، بدافزار از آسیب‌پذیری CVE-۲۰۱۹-۲۷۲۵ سوء‌استفاده می‌کند تا یک دستور PowerShell را اجرا کند و کد مخرب را در یک فایل .cer مبهم‌سازی شده دریافت‌کند. فایل گواهی از سرور مهاجم دانلود می‌شود و برای رمزگشایی آن از ابزار CertUtil استفاده شده است. CertUtil یک برنامه خط فرمان (command-line) است که به همراه سرویس‌های گواهی‌ها نصب می‌شود.

در ادامه مراحل آلوده‌سازی، یک فایل PowerShell با نام update.ps1 دانلود می‌شود و فایل گواهی دانلود شده حذف‌می‌شود. فایل گواهی در ابتدا مشابه فرمت عادی گواهی PEM به نظر می‌رسد، اما پس از رمزگشایی آن، مشاهده می‌شود که به جای استفاده از فرمت X,509 TLS، دستور PowerShell در آن قرار داده شده‌است. فایل update.ps1 چندین فایل دیگر را دانلود می‌کند که فرایند کاوش رمزارز را انجام‌می‌دهند.
مرجع : مرکز مدیریت راهبردی افتا