Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Представляйте решения на онлайн-конференции!

Злоумышленники активно эксплуатируют исправленную уязвимость в Oracle WebLogic

13/06/19

WebLogicИсправленная недавно уязвимость в Oracle WebLogic активно эксплуатируется киберпреступниками для установки на уязвимые серверы майнеров криптовалюты.

Речь идет об уязвимости десериализации (CVE-2019-2725), позволяющей неавторизованному злоумышленнику удаленно выполнять команды. О проблеме стало известно в апреле нынешнего года, когда киберпреступники уже проявляли к ней интерес. Oracle исправила уязвимость в конце того же месяца, однако, по данным Trend Micro, в настоящее время она активно используется в атаках.

Как сообщают исследователи, с помощью уязвимости злоумышленники устанавливают на скомпрометированные машины ПО для майнинга криптовалюты. Для обхода обнаружения они прячут вредоносный код в файлах цифровых сертификатов.

После выполнения на системе вредонос эксплуатирует уязвимость для выполнения команд и ряда задач. Сначала с помощью PowerShell с C&C-сервера загружается файл сертификата, для расшифровки которого используется легитимный инструмент CertUtil. Затем с помощью PowerShell этот файл выполняется на целевой системе и удаляется с помощью cmd.

Сертификат выглядит как обычный сертификат в формате Privacy-Enhanced Mail (PEM), однако имеет форму команды PowerShell вместо привычного формата X.509 TLS. До получения команды файл должен расшифровываться дважды, что весьма необычно, потому что команда эксплоита использует CertUtil только один раз.

Идея использовать файлы сертификатов для обфускации вредоносного кода далеко не нова. Тем не менее, реальные атаки с использованием данного метода ранее не обнаруживались, а если и обнаруживались, то очень редко.

Темы:OracleПреступления
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
3 апреля. Отечественные ИT-платформы и ПО для объектов КИИ
Участвуйте!

Еще темы...

More...