Học viện hack đạo đức Đào tạo hack đạo đức ở Pune – Ấn Độ

Hacking cực đoan | Sadik Shaikh | Cyber ​​Suraksha Abhiyan

Cedits: Sổ đăng ký

Quản trị viên CNTT giám sát các cài đặt Máy chủ WebLogic của Oracle cần phải được vá ngay lập tức: những kẻ bất lương đang khai thác lỗ hổng zero-day trong phần mềm để bơm ransomware vào mạng.

Nhóm bảo mật Cisco Talos cho biết một khách hàng của họ đã phát hiện ra rằng nó đã bị nhiễm qua lỗi vào ngày 25 tháng 4, mặc dù việc khai thác được cho là đã được tung lên mạng từ ngày 17 tháng 4. Lỗi lập trình là vấn đề cốt lõi của vấn đề là một lỗ hổng khử lưu huỳnh có thể bị khai thác để thực thi mã độc trên máy chủ WebLogic từ xa mà không cần tên người dùng hoặc mật khẩu. Một tin tặc chỉ cần có khả năng tiếp cận dịch vụ có nguy cơ trên internet hoặc mạng để xâm nhập vào nó.

Thiết kế của WebLogiciên làm cho nó đặc biệt dễ bị các loại lỗ hổng này, ông Julian Ullrich, trưởng khoa nghiên cứu tại Viện Công nghệ Sans, cho biết trong một lời khuyên trong tuần này. Không được tiếp xúc WebLogic với Internet nếu bạn có thể giúp đỡ. Tôi nghi ngờ rằng đây là lỗ hổng cuối cùng như vậy.

Lỗ hổng này lần đầu tiên được xác định bởi các nhà nghiên cứu Trung Quốc và Đài Loan, và cảnh báo chính thức đầu tiên được gửi bởi Cơ sở dữ liệu dễ bị tổn thương quốc gia Trung Quốc và được gán CVE-2019-2725. Oracle đã tung ra một bản vá ngoài ban nhạc vào thứ Sáu, ngày 26 tháng 4, đánh giá mức 9,8 trên 10 theo mức độ nghiêm trọng và kêu gọi mọi người nên vá lỗi – mặc dù Big Red là như vậy, bạn sẽ cần một hợp đồng hỗ trợ phù hợp để nhận được sửa chữa, nó xuất hiện.

Như Ellison và Co đã nói: Các bản vá lỗi được phát hành thông qua chương trình Cảnh báo bảo mật chỉ được cung cấp cho các phiên bản sản phẩm được bảo hành theo các giai đoạn Hỗ trợ hàng đầu hoặc Hỗ trợ mở rộng của Chính sách hỗ trợ trọn đời. Oracle khuyến nghị khách hàng lên kế hoạch nâng cấp sản phẩm để đảm bảo rằng các bản vá được phát hành thông qua chương trình Cảnh báo bảo mật có sẵn cho các phiên bản mà họ hiện đang chạy.

Các bản phát hành Sản phẩm không thuộc Hỗ trợ của Premier hoặc Hỗ trợ Mở rộng sẽ không được kiểm tra về sự hiện diện của các lỗ hổng được Thông báo Bảo mật này xử lý. Tuy nhiên, có khả năng các phiên bản trước của các bản phát hành bị ảnh hưởng cũng bị ảnh hưởng bởi các lỗ hổng này. Do đó, Oracle khuyến nghị khách hàng nên nâng cấp lên các phiên bản được hỗ trợ. [[9009003]

Một thương hiệu mới khó chịu

Theo nhóm Talos, các hành vi sai trái đã được phát hiện bằng cách sử dụng lỗ hổng WebLogic để tiêm ransomware được gọi là Sodinokibi vào ít nhất một mạng công ty. Khi họ có thể thực thi mã trên một hệ thống dễ bị tấn công, tin tặc đã rút phần mềm độc hại xáo trộn tệp từ hai địa chỉ IP – 188.166.74 [.] 218 và 45.55.211 [.] 79. Cái trước là một máy chủ lưu trữ phần mềm độc hại được biết đến, mặc dù cái sau dường như được liên kết với một trang web hợp pháp ở Chile, được cho là hoạt động như một bệ phóng cho cuộc tấn công.

Cụ thể, bọn tội phạm đã sử dụng PowerShell trên các hộp dựa trên Windows dễ bị tổn thương để tải xuống một tệp có tên radm.exe, có chứa phần mềm ransomware. Sau khi chạy, nó đã vô hiệu hóa các cơ chế sao lưu mặc định của Windows, để phục hồi khó hơn, các tài liệu được mã hóa hàng loạt và sau đó mở một cửa sổ yêu cầu thanh toán bằng Bitcoin sẽ tăng gấp đôi nếu không được thanh toán trong vòng ba ngày.

Tám giờ sau cuộc tấn công ban đầu, các nhà khai thác phần mềm độc hại đã quay lại tải xuống và chạy một phần mềm độc hại thứ hai, Gandcrab v5.2, được phát hành vào ngày 19 tháng 2 năm nay.

Mạnh Chúng tôi thấy lạ là những kẻ tấn công sẽ chọn phân phối thêm các phần mềm ransomware khác nhau trên cùng một mục tiêu, Đội Talos nói. Sau đó, Sodinokibi là một hương vị mới của ransomware, có lẽ những kẻ tấn công cảm thấy những nỗ lực trước đó của họ đã không thành công và vẫn đang tìm cách kiếm tiền bằng cách phân phối Gandcrab.

Nhóm nghiên cứu – Pierre Cadieux, Colin Grady, Jaeson Schultz và Matt Valites – cho biết Talos có thể giúp khách hàng của mình dọn sạch bệnh nhiễm trùng, nhưng cảnh báo rằng nhiều khả năng sẽ đến. Với số lượng lớn máy chủ WebLogic ngoài kia, vectơ tấn công này chắc chắn sẽ được sử dụng lại.

www.extremehacking.org

Sadik Shaikh | Cyber ​​Suraksha Abhiyan, Viện đào tạo hack đạo đức, CEHv10, CHFI, ECSAv10, CAST, ENSA, CCNA, CCNA AN NINH, MCITP, RHCE, CHECKPOINT, ASA FIREWALL, MẠNG, CÁCH MẠNG, CÁCH MẠNG Hacking đạo đức, Trung tâm đào tạo an ninh nâng cao ở Ấn Độ, khóa ceh v10 ở Pune-Ấn Độ, chứng nhận ceh ở Ấn Độ, đào tạo ceh v10 ở Pune-Ấn Độ, Khóa học đạo đức ở Pune-Ấn Độ


nguon http://blog.extremehacking.org/blog/2019/05/02/if-youre-using-oracles-weblogic-server-check-for-security-fixes-bug-exploited-in-the-wild-to-install-ransomware/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây