漏洞概要

缺陷编号:
暂无

漏洞标题:
Oracle某漏洞修复不彻底致更多设备沦为挖矿机

提交时间:
2018-01-12 11:17

危害等级:

相关厂商:

漏洞分类:
安全事件

关注度:
共 10 人关注

漏洞详情

E安全1月12日讯 Morphus Labs安全研究人员雷纳托·马里尼奥2018年1月7日发布报告揭露一系列针对PeopleSoft和WebLogic服务器的挖矿活动,多名攻击者利用Oracle修复的WebLogic WLS组件漏洞(CVE-2017-10271)执行批量数字货币挖矿活动。

 SANS科技研究所研究主任约翰尼斯·乌尔里希发布分析报告指出,一名黑客赚取了至少611个门罗币,按当前价格来算总价约为22.6万美元(约合人民币148万元)。

Oracle漏洞修复不彻底引出更多问题

乌尔里希称,攻击者似乎利用了中国安全研究人员在2017年12月底发布漏洞(CVE 2017-3506)利用PoC。2017年4月Oracle发布针对CVE 2017-3506的补丁后,由于修复不够完善出现了CVE-2017-10271漏洞。乌尔里希指出,这名中国研究人员在博文中讨论的漏洞CVE 2017-3506,其漏洞利用同样适用于这个后来出现的漏洞CVE-2017-10271。

黑客利用WebLogic漏洞PoC开采了价值147.4万门罗币-E安全

乌尔里希表示,PoC发布不久,就有报道称攻击者利用该PoC安装加密货币挖矿程序,从由Digital Ocean、GoDaddy、Verizon Business Services和Athenix托管的服务器发起攻击。

影响范围

乌尔里希表示这一系列攻击不具有针对性,全球范围普遍受影响。一旦有人发布漏洞利用,普通的黑客也能使WebLogic/PeopleSoft服务器宕机。

乌尔里希表示,攻击者在722个易受攻击的WebLogic和PeopleSoft系统上安装了合法的门罗币挖矿软件包。其中许多系统在公共云服务上运行,超过140个系统在亚马逊AWS公共云中运行,少量服务器在其它托管及云服务上,有约30个服务器位于Oracle的公共云服务中。

漏洞(CVE 2017-3506)利用代码使扫描脆弱系统变得简单,因此整个公开暴露、未打补丁的Oracle Web应用服务器可能会快速沦为这些攻击的受害者。但由于挖矿工具的脚本会在目标服务器上杀死 “java”进程,这些挖矿活动很快就被研究人员发现。

攻击者在上述门罗币攻击中使用的安装程序是一个简单的bash脚本,发出命令寻找并杀死之前可能存在的其它区块链挖矿程序,并创建cron定时任务来下载并启动挖矿工具。

此次漏洞修复应该注意什么?

乌尔里希提醒受害者,不应简单为服务器打补丁和删除挖矿程序来修复服务器,因为老练的攻击者可能会利用更高级的攻击方式隐藏任务。这起案例使用的持久机制是cron定时任务,但不排除有其它更难以检测的持久机制,以达到长期控制目标设备的目的。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

发表评论

电子邮件地址不会被公开。 必填项已用*标注