Эксплойты Oracle WebLogic использовались для майнинга криптовалюты

Серверы приложений PeopleSoft и WebLogic, вместе с облачными системами, работающие на WebLogic, были подвержены атакам хакеров, в результате которых было похищено около 226 тыс. долларов США.

Предприятия, которым в октябре прошлого года не удалось установить патч для WebLogic, обнаружили, что их облачные серверы вместе с приложением PeopleSoft взламывали криптовалюту.

Исследователь по безопасности обнаружил, что хакеры похитили 611 монет Monero, что эквивалентно 226 070 долл. США. Злоумышленники использовали слабое место WebLogic на уязвимых серверах по всему миру. По словам Ренато Мариньо — главного исследователя по кибербезопасности Morphus Labs обнаружившего атаку — на этой неделе начали появляться сообщения о том, что была запущена целая вредоносная кампания по подрыву незащищенных патчем систем с помощью майнеров Monero.

Злоумышленники применяли пробный эксплойт, выпущенный в конце декабря китайским исследователем Лянь Чжаном, который ищет уязвимые места на сервере приложений WebLogic; Oracle выпустил патч для устранения этой ошибки в октябре, говорит Йоханнес Ульрих, декан исследований в SANS Technology Institute.

Как отмечает Ульрих, факт применения эксплойта в майнинге криптовалюты был обнаружен за последние несколько недель из-за обвала нескольких серверов WebLogic. Крипто-майнинг зависит от большой вычислительной мощности, генерируемой компьютерами, серверами и даже мобильными устройствами для добычи криптовалюты. В результате, при использовании крипто-майнеров, возможен сбой или замедление вычислительных систем.

В нашем случае хакеры применяли этот эксплойт с целью запуска крипто-майнеров на PeopleSoft и WebLogic, а также на облачных платформах Oracle и Amazon, привязанных к серверам приложений WebLogic, говорит Ульрих. Злоумышленники не использовали этот эксплойт для кражи или изменения важных данных и информации, содержащихся на серверах приложений PeopleSoft.

Предприятия очень активно используют PeopleSoft для решения таких вопросов, как Salesforce, людские ресурсы, финансовое планирование и пр.

«У хакеров был доступ ко всем данным PeopleSoft, затрагивающих серверы WebLogic, однако, вместо того, чтобы продать их на черном рынке, злоумышленники посчитали, что майнинг принесет больше денег», — говорит Ульрих.

Например, биткоин взлетел с 5 000 долл. США (три месяца назад) до 14 000 долларов за одну монету (прошлый вторник).

Если на сервере появился крипто-майнер, это означает, что плохие парни нашли способ по использованию системы и, возможно, еще больше скомпрометировали ее, предупреждает Ульрих. В результате, если компании обнаруживают в своей системе крипто-майнера, им необходимо отнестись к этому факту очень серьезно и не надеяться на то, что самое худшее уже позади.

Рик МакЭлрой (Rick McElroy), специалист по безопасности в Carbon Black, прогнозирует увеличение числа подобных атак, по причине того, что такие государства, как Северная Корея, начинают проявлять все больший интерес к теме криптовалюты. «Майнинг теперь станет более широкомасштабной проблемой, потому что он превратился в отдельный аспект экономики государств. Таким образом, можно ожидать рост числа подобных атак за рубежом», — говорит он.

Установка патчей от Oracle

Как правило, предприятия не спешат устанавливать обновления Oracle, опасаясь, что это нарушит работу их критически важных системы. «Экосистемы Oracle и PeopleSoft очень сложны, и в дополнение к этому, компании и так модифицируют свое программное обеспечение», — говорит Ульрих, предполагая, что 10-20% компаний не устанавливают обновление, когда Oracle выпускает очередной патч.

Виртуальный патчинг путем создания фаервола для Web-приложений – это один из обходных путей, по которому компании могут захотеть пойти, если они не решаются установить патч от Oracle, советует Ullrich. «Этот тип патчинга легко задействовать, если вы пытаетесь заблокировать определенный эксплойт», — говорит он. «В то же время он не будет работать, если вы хотите заблокировать все эксплойты, потому что это может закрыть доступ к чему-то, что вы хотите оставить открытым».

Себастьян Бортник (Sebastian Bortnik), глава исследовательской лаборатории Onapsis, говорит, что, хотя в последние годы предприятия продемонстрировали некоторое улучшение в области патчинга критически важных для бизнеса приложений, все же они лучше разбираются в патчинге конечных точек или уровневом патчинге ОС.

«Несмотря на это, некоторые компании значительно совершенствовались и начали создавать воспроизводимые графики патчей, а также следить за тем, чтобы период ожидания для патчинга ERP-систем составлял не более трех-шести месяцев», — говорит Бортник.

Источник: www.megachange.is