Oracle app serveur pirater laisser un attaquant mine 226 000 dollars de cryptocoins

Si Si “java” meurt subitement sur votre serveur WebLogic ou PeopleSoft, vous pouvez se faire exploiter pour Monero.David Cairns / Getty Images

Dans un rapport publié le 7 janvier par le SANS Technology Dans stitute, Le chercheur de Morphus Labs, Renato Marinho, a révélé ce qui semble être une campagne de piratage dans le monde entier par plusieurs attaquants contre Serveurs PeopleSoft et WebLogic utilisant une application Web vulnérabilité de serveur corrigée par Oracle à la fin de l’année dernière.

Lectures complémentaires

Oracle lance 5 correctifs pour gérer d’importantes vulnérabilités dans PeopleSoft serveur d’applications

Ces attaquants ne volent pas de données aux victimes, cependant – � moins autant que quiconque peut dire. Au lieu de cela, l’exploit est utilisé pour exploiter des crypto-monnaies. Dans un cas, selon l’analyse publiée aujourd’hui par SANS doyen de la recherche Johannes B. Ullrich, l’attaquant généré au moins 611 pièces Monero (XMR) – 226 000 dollars de la crypto-monnaie.

Les attaques semblent avoir mis à profit un exploit de validation de concept de la vulnérabilité Oracle publiée en décembre par le chinois chercheur en sécurité Lian Zhang. Presque immédiatement après la preuve du concept a été publié, il a été rapporté qu’il était utilisé pour installer des cryptomères à partir de plusieurs endroits différents — attaques lancé à partir de serveurs (certains d’entre eux sont susceptibles d’être compromis eux-mêmes) hébergés par Digital Ocean, GoDaddy et Athenix.

“Les victimes sont réparties dans le monde entier”, écrit Ullrich. “Cette n’est pas une attaque ciblée. Une fois que l’exploit a été publié, n’importe qui avec des compétences de script limitées a pu participer à prendre serveurs WebLogic / PeopleSoft. ”

Dans le cas de l’attaque documentée par Marinho, l’attaquant installé un logiciel d’exploitation minière Monero légitime appelé xmrig sur 722 systèmes WebLogic et PeopleSoft vulnérables – beaucoup d’entre eux fonctionnant sur des services de cloud public, selon Ulrich. Plus que 140 de ces systèmes se trouvaient dans le cloud public Amazon Web Services, et un plus petit nombre de serveurs étaient sur un autre hébergement et cloud services — y compris environ 30 sur le propre cloud public d’Oracle un service.

Le code d’exploitation facilite la recherche de systèmes vulnérables, de sorte que tout l’univers d’Oracle Web exposé publiquement et non corrigé les serveurs d’applications pourraient rapidement être victimes de ceux-ci et d’autres attaques. Du bon côté des choses, certaines de ces mines souterraines les efforts ont été détectés relativement rapidement parce que le script utilisé pour “déposer” l’outil d’extraction a également tué le processus “java” sur le serveurs ciblés – essentiellement arrêter le serveur d’applications et attirer rapidement l’attention des administrateurs.

Le programme d’installation utilisé dans l’attaque documentée de Monero était simple. script bash. Il lance des commandes pour rechercher et tuer d’autres les mineurs de blockchain qui sont peut-être arrivés avant, et il met en place une Travail CRON pour télécharger et lancer l’outil mineur afin de conserver son pied intact.

Ullrich a averti que les victimes ne devraient pas simplement mettre fin à leur réponse à ces intrusions en corrigeant leurs serveurs et en supprimant le logiciel d’exploitation minière. “Il est très probable que plus sophistiqué les attaquants l’utilisaient pour s’implanter de manière persistante sur le système. InDans ce cas, la seule “persistance” que nous avons constatée était le travail CRON. Mais il y a beaucoup plus de moyens, et plus difficiles à détecter, de gagner persistance.”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: