Ci risiamo: una vulnerabilità di cui sono già disponibili le patch è attivamente sfruttata per distribuire cryptominer e per rubare informazioni sensibili da sistemi infetti. La falla in questione è la CVE-2020-14882 con punteggio CSVV di 9.8, una vulnerabilità RCE (Remote Code Execution), e i sistemi interessati sono i server Oracle WebLogic.

A sfruttarla è in questo momento la botnet DarkIRC. Nonostante le patch siano in circolazione da oltre due mesi, un report di Juniper Threat Labs rivela che sono quasi 3.000 i server Oracle WebLogic raggiungibili su Internet che permettono agli utenti non autenticati di eseguire codice da remoto. La notizia peggiore è che per scovarli non sono necessarie grandi competenze, basta usare il motore di ricerca Shodan.

A quanto risulta gli aggressori stanno prendendo di mira i server WebLogic vulnerabili con almeno cinque payload diversi. Quello più interessante è il malware DarkIRC, che è in vendita sui forum di hacking per soli 75 dollari. Questa "merce" è pubblicizzata sul dark web da agosto 2020 da un cyber criminale noto come Freak_OG, che potrebbe essere anche il regista degli attacchi in corso.

DakrIRC

DarkIRC viene infiltrato sui server vulnerabili tramite uno script PowerShell eseguito tramite una richiesta HTTP GET. Beneficia di funzioni anti analisi e anti sandbox. Prima di decomprimere il malware controlla se è in esecuzione in una macchina virtuale VMware, VirtualBox, VBox, QEMU o Xen. In caso rilevasse un ambiente sandbox bloccherebbe il processo di infezione.

DarkIRC è dotato di una moltitudine di funzioni, tra cui il keylogging, la capacità di scaricare file, di eseguire comandi sul server infetto, di perpetrare furto di credenziali, di diffondersi su altri dispositivi tramite MSSQL e RDP (forza bruta), SMB o USB, oltre che di lanciare diverse versioni di attacchi DDoS.

Gli aggressori possono anche utilizzare il bot come clipper Bitcoin per cambiare gli indirizzi del portafoglio bitcoin a favore di uno controllato dai suoi operatori.

I precedenti

La vulnerabilità di WebLogic di cui i criminali informatici approfittano in questi attacchi è già stata sfruttata in passato. In particolare, una settimana dopo che Oracle ha pubblicato le patch, i cyber criminali hanno iniziato a cercare istanze Oracle WebLogic esposte. Il mese scorso gli aggressori hanno anche preso di mira i server Oracle WebLogic per distribuire sessioni Cobalt Strike che consentono l'accesso remoto persistente a server compromessi, in modo da raccogliere informazioni e distribuire ulteriori payload.

Oracle ha emesso diversi avvisi al riguardo, quindi stupisce che tutt'oggi siano collegati alle rete server che non dispongono delle patch. Rinnoviamo l'invito ad applicare l'aggiornamento con urgenza.