کارشناسان امنیتی ترندمیکرو از خطر نصب بدافزار کاوش رمزارز از راه یک آسیبپذیری در سرورهای Oracle WebLogic خبر دادند.
منبع : مرکز مدیریت راهبردی افتا
کارشناسان امنیتی ترندمیکرو از خطر نصب بدافزار کاوش رمزارز از راه یک آسیبپذیری در سرورهای Oracle WebLogic خبر دادند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران ترندمیکرو اخیرا یک عملیات سایبری را شناسایی کردهاند که در آن از آسیبپذیری CVE-۲۰۱۹-۲۷۲۵ در Oracle WebLogic Server سوءاستفاده شدهاست تا بدافزار استخراجکننده رمزارز منتقل شود.
آسیبپذیری CVE-۲۰۱۹-۲۷۲۵ نقصی است که بهراحتی قابل بهرهبرداری است و هر مهاجم احرازهویت نشده با دسترسی HTTP به سرور آسیبپذیر میتواند از آن سوءاستفاه کند.
در حملاتی که اخیرا گزارش شدهاست، بدافزار از آسیبپذیری CVE-۲۰۱۹-۲۷۲۵ سوءاستفاده میکند تا یک دستور PowerShell را اجرا کند و کد مخرب را در یک فایل .cer مبهمسازی شده دریافتکند. فایل گواهی از سرور مهاجم دانلود میشود و برای رمزگشایی آن از ابزار CertUtil استفاده شده است. CertUtil یک برنامه خط فرمان (command-line) است که به همراه سرویسهای گواهیها نصب میشود.
در ادامه مراحل آلودهسازی، یک فایل PowerShell با نام update.ps1 دانلود میشود و فایل گواهی دانلود شده حذفمیشود. فایل گواهی در ابتدا مشابه فرمت عادی گواهی PEM به نظر میرسد، اما پس از رمزگشایی آن، مشاهده میشود که به جای استفاده از فرمت X,509 TLS، دستور PowerShell در آن قرار داده شدهاست. فایل update.ps1 چندین فایل دیگر را دانلود میکند که فرایند کاوش رمزارز را انجاممیدهند.