Si “java” muere repentinamente en su servidor WebLogic o PeopleSoft, puede ser minado por Monero.David Cairns / Getty Images
En un informe publicado el 7 de enero por SANS Technology En stitute, El investigador de Morphus Labs, Renato Marinho, reveló lo que parece ser una campaña mundial de piratería en curso por parte de múltiples atacantes contra Servidores PeopleSoft y WebLogic que aprovechan una aplicación web vulnerabilidad del servidor parcheada por Oracle a fines del año pasado.
Otras lecturas
Oracle lanza 5 parches para grandes vulnerabilidades en PeopleSoft servidor de aplicaciones
Sin embargo, estos atacantes no están robando datos de las víctimas, en por lo menos por lo que cualquiera puede decir. En cambio, se está utilizando el exploit para minar criptomonedas. En un caso, según el análisis publicado hoy por el decano de investigación de SANS Johannes B. Ullrich, el atacante anotó al menos 611 monedas Monero (XMR) – $ 226,000 dólares en La criptomoneda.
Los ataques parecen haber aprovechado un exploit de prueba de concepto de la vulnerabilidad de Oracle publicada en diciembre por chinos investigador de seguridad Lian Zhang. Casi inmediatamente después de la prueba. del concepto fue publicado, hubo informes de que se estaba utilizando para Instalar criptomineros desde diferentes lugares: ataques lanzado desde servidores (algunos de ellos probablemente servidores comprometidos ellos mismos) organizados por Digital Ocean, GoDaddy y Athenix.
“Las víctimas se distribuyen en todo el mundo”, escribió Ullrich. “Esta No es un ataque dirigido. Una vez publicado el exploit, cualquiera con habilidades limitadas de scripting pudo participar en tomar fuera de los servidores WebLogic / PeopleSoft “.
En el caso del ataque documentado por Marinho, el atacante instaló un paquete legítimo de software de minería Monero llamado xmrig en 722 sistemas vulnerables WebLogic y PeopleSoft, muchos de ellos ejecutándose en servicios de nube pública, según Ulrich. Mas que 140 de esos sistemas estaban en la nube pública de Amazon Web Services, y un menor número de servidores estaban en otro hosting y en la nube servicios, incluidos aproximadamente 30 en la propia nube pública de Oracle Servicio.
El código de explotación simplifica la exploración de sistemas vulnerables, así que todo el universo de Oracle Web sin parches, expuesto públicamente los servidores de aplicaciones podrían ser rápidamente víctimas de estos y otros ataques En el lado positivo, algunos de estos mineros subrepticios los esfuerzos se detectaron relativamente rápido porque el script solía “soltar” la herramienta de minería también eliminó el proceso “java” en el servidores de destino: esencialmente apagando el servidor de aplicaciones y llamando la atención rápida de los administradores.
El instalador utilizado en el ataque documentado de Monero fue un simple script bash Emite comandos para buscar y matar a otros mineros de blockchain que pueden haber llegado antes, y establece un Trabajo CRON para descargar y lanzar la herramienta de minería para mantener su punto de apoyo intacto.
Ullrich advirtió que las víctimas no deberían simplemente terminar su respuesta a estas intrusiones parcheando sus servidores y eliminando el software de minería. “Es muy probable que más sofisticado los atacantes usaron esto para ganar un punto de apoyo persistente en el sistema. InEn este caso, la única “persistencia” que notamos fue el trabajo de CRON. Pero hay muchas más y más difíciles de detectar formas de ganar persistencia.”
