Falla critica di Oracle WebLogic sfruttata attivamente

I criminali informatici stanno sfruttando attivamente una falla di Oracle WebLogic per la quale è disponibile la patch da mesi.

Business Vulnerabilità
Ci risiamo: una vulnerabilità di cui sono già disponibili le patch è attivamente sfruttata per distribuire cryptominer e per rubare informazioni sensibili da sistemi infetti. La falla in questione è la CVE-2020-14882 con punteggio CSVV di 9.8, una vulnerabilità RCE (Remote Code Execution), e i sistemi interessati sono i server Oracle WebLogic.

A sfruttarla è in questo momento la botnet DarkIRC. Nonostante le patch siano in circolazione da oltre due mesi, un report di Juniper Threat Labs rivela che sono quasi 3.000 i server Oracle WebLogic raggiungibili su Internet che permettono agli utenti non autenticati di eseguire codice da remoto. La notizia peggiore è che per scovarli non sono necessarie grandi competenze, basta usare il motore di ricerca Shodan.

A quanto risulta gli aggressori stanno prendendo di mira i server WebLogic vulnerabili con almeno cinque payload diversi. Quello più interessante è il malware DarkIRC, che è in vendita sui forum di hacking per soli 75 dollari. Questa "merce" è pubblicizzata sul dark web da agosto 2020 da un cyber criminale noto come Freak_OG, che potrebbe essere anche il regista degli attacchi in corso.
oracle weblogic

DakrIRC

DarkIRC viene infiltrato sui server vulnerabili tramite uno script PowerShell eseguito tramite una richiesta HTTP GET. Beneficia di funzioni anti analisi e anti sandbox. Prima di decomprimere il malware controlla se è in esecuzione in una macchina virtuale VMware, VirtualBox, VBox, QEMU o Xen. In caso rilevasse un ambiente sandbox bloccherebbe il processo di infezione.

DarkIRC è dotato di una moltitudine di funzioni, tra cui il keylogging, la capacità di scaricare file, di eseguire comandi sul server infetto, di perpetrare furto di credenziali, di diffondersi su altri dispositivi tramite MSSQL e RDP (forza bruta), SMB o USB, oltre che di lanciare diverse versioni di attacchi DDoS.

Gli aggressori possono anche utilizzare il bot come clipper Bitcoin per cambiare gli indirizzi del portafoglio bitcoin a favore di uno controllato dai suoi operatori.

I precedenti


La vulnerabilità di WebLogic di cui i criminali informatici approfittano in questi attacchi è già stata sfruttata in passato. In particolare, una settimana dopo che Oracle ha pubblicato le patch, i cyber criminali hanno iniziato a cercare istanze Oracle WebLogic esposte. Il mese scorso gli aggressori hanno anche preso di mira i server Oracle WebLogic per distribuire sessioni Cobalt Strike che consentono l'accesso remoto persistente a server compromessi, in modo da raccogliere informazioni e distribuire ulteriori payload.

Oracle ha emesso diversi avvisi al riguardo, quindi stupisce che tutt'oggi siano collegati alle rete server che non dispongono delle patch. Rinnoviamo l'invito ad applicare l'aggiornamento con urgenza.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Cyber security: prospettive 2021

Speciale

Come custodire al meglio i dati, dal backup in poi

Calendario Tutto

Apr 14
Così il ransomware mette al tappeto backup… e ripartenza. Cosa fare per evitare guai
Apr 20
Kaspersky - Storia di un attacco: così le minacce evasive mettono ko lo smart working
Apr 22
Cortina Digital Forum 2021

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori