Meerdere botnets maken misbruik van kritieke Oracle WebLogic kwetsbaarheden

Meerdere botnets richten zich op een paar duizend Oracle WebLogic servers die via het internet benaderbaar zijn en op dit moment nog geen patch hebben gehad. Hierop rollen ze crypto miners uit en stelen ze gevoelige informatie van de systemen na dat deze geïnfecteerd zijn.

De aanvallers richten zich op de recent gepatchte WebLogic Server kwetsbaarheid, welke onderdeel is van de Critical Patch Update (CPU) van oktober, waaraan CVE-2020-14882 is toegewezen. En daarnaast de gerelateerde kwetsbaarheid CVE-2020-14750, waarvoor een noodpatch is uitgekomen in november, zoals wij hier ook hebben vermeld in een artikel een paar weken geleden.

Oracle WebLogic is een platform voor het ontwikkelen, uitrollen en draaien van Java bedrijfsapplicaties in verschillende Cloud omgevingen en ook op on-premises.

Op het moment van schrijven zijn er 3.109 kwetsbare servers gevonden bij Shodan, zoals te zien in onderstaande afbeelding.

 

Welke versies zijn kwetsbaar

De volgende Oracle WebLogic Server versies zijn kwetsbaar voor zowel CVE-2020-14750 als CVE-2020-14882, welke beide een CVSS score hebben van 9.8/10  :

  • 10.3.6.0.0
  • 12.1.3.0.0
  • 12.2.1.3.0
  • 12.2.1.4.0
  • 14.1.1.0.0.

Wordt de kwetsbaarheid actief misbruikt?

Ondanks dat er patches zijn uitgebracht voor de kwetsbaarheid, is er proof-of-concept exploit code beschikbaar gemaakt. Hierdoor is Oracle WebLogic een lucratief doel geworden voor kwaadaardige actoren om deze onderdeel te maken van hun botnet om kritieke data te stelen en malware payloads uit te rollen op de geïnfecteerde machines.

Volgens Juniper Threat Labs, zijn de operators van het DarkIRC botnet bezig met het misbruiken van deze RCE kwetsbaarheid om lateraal te bewegen binnen een bedrijfsnetwerk om zo bestanden te downloaden, toetsaanslagen op te nemen, credentials te stelen en willekeurige commando’s uit te voeren om de gecompromitteerde machines.

Meer info over deze botnets

De malware die DarkIRC gebruikt, gedraagt zich ook als Bitcoin clipper dat de actoren toestaat om de Bitcoin wallet adressen te kopiëren naar het klembord naar het Bitcoin wallet adres van de operator, zodat Bitcoin transacties worden omgeleid.

Ook wordt door een threat actor genaamd “Freak_OG” op dit moment DarkIRC malware verkocht op hacking forums voor $75 sinds augustus.

Helaas is het niet alleen DarkIRC dat misbruik maakt van de kwetsbaarheid. In een andere campagne gespot door ‘0xrb‘ en uitgewerkt door onderzoeker Tolijan Trajanovski, is er bewijs dat een botnet via de kwetsbaarheid een Monero cryptocurrency miner lever en Tsunami binaries.

Naast het gebruiken van het SSH protocol voor laterale beweging, is er ook gevonden dat het botnet persistentie behoud door cron jobs te maken, het neerhalen van concurrerende mining tools en zelfs Endpoint detection and response (EDR) tools van Alibaba en Tencent de-installeert.

Advies

Het wordt aangeraden aan iedereen dit het nog niet gedaan heeft en gebruik maakt van Oracle WebLogic servers om eerst de Critical Patch Update (CPU) van oktober door te voeren en daarna de patches met betrekking tot CVE-2020-14750 om de risico’s met betrekking tot deze kwetsbaarheden te verminderen.

Oracle komt daarnaast ook met instructies voor iedereen om servers te hardenen. Om zo externe toegang tot interne applicaties die beschikbaar zijn via de Administratie poort te voorkomen.

Het is belangrijk om ervoor te zorgen dat dit z.s.m. wordt gedaan voordat deze botnets de aanwezige servers in het bedrijfsnetwerk infecteren met onder andere hun miners en malware.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

 

 

Google diensten worden misbruikt in phishing en BEC campagnes
Microsoft.com wordt gespooft in spearphishing aanval richting 200 miljoen Office 365 gebruikers

Gerelateerde berichten

dnsspooq

DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder

malware

Kwaadaardige software infrastructuur eenvoudiger te verkrijgen en uit te rollen dan ooit

2021

Cybersecurity Trends in 2021

6 vragen die aanvallers zichzelf stellen, voordat ze overgaan op het aanvallen van een systeem

Contact Form 7

Kritieke kwetsbaarheid in Contact Form 7 WordPress plug-in maakt overname van 5M sites mogelijk

SolarWinds

Backdoor aangetroffen in SolarWinds Orion software updates

phishing

Microsoft.com wordt gespooft in spearphishing aanval richting 200 miljoen Office 365 gebruikers

Google diensten worden misbruikt in phishing en BEC campagnes

cisco

Onderzoeker onthult kritieke RCE-tekortkomingen in Cisco Security Manager

Ransomware

Gestolen data na een ransomware aanval wordt niet altijd verwijderd

Oracle

Oracle brengt noodpatch uit voor kritieke kwetsbaarheid in WebLogic Server

Microsoft 365

Grootste gedeelte van Microsoft 365 administrators activeert MFA niet

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

twee × 2 =

Menu