關(guān)注!攻擊者正積極利用Atlassian Confluence和Oracle WebLogic漏洞
責(zé)編:gltian |2019-05-07 14:30:11攻擊者正在積極利用Oracle WebLogic和Atlassian Confluence中的Widget Connector的漏洞,來傳遞勒索軟件、挖掘加密貨幣,并讓受攻擊的機器參與DDoS攻擊。
一、Oracle WebLogic攻擊
CVE-2019-2725是一個反序列化遠(yuǎn)程命令執(zhí)行漏洞,影響所有啟用了兩個特定組件的Oracle WebLogic版本。它在4月21日被公開披露,Oracle在4月25日發(fā)布了一個帶外安全補丁。Oracle WebLogic服務(wù)器經(jīng)常成為攻擊者的目標(biāo),這些攻擊者想要使用他們的資源進(jìn)行秘密加密。
CVE-2019-2725也是如此。4月28日,帕洛阿爾托網(wǎng)絡(luò)公司(Palo Alto Networks)的42部門發(fā)布了Linux僵尸網(wǎng)絡(luò)Muhstik的一個新版本,該版本利用了該漏洞,并對Linux服務(wù)器和物聯(lián)網(wǎng)設(shè)備進(jìn)行了攻擊,以進(jìn)行加密和DDoS攻擊。但該漏洞也被用來安裝勒索軟件,先是Sodinokibi,然后是GandCrab。
思科Talos研究人員指出:“勒索軟件攻擊的初始階段發(fā)生在4月25日,也就是甲骨文發(fā)布更新的前一天。”?攻擊者利用這個漏洞,讓易受攻擊的服務(wù)器從他們控制的兩個IP地址下載勒索軟件,并且顯然成功地加密了許多系統(tǒng)。但是,他們并不滿足于此,僅僅幾小時后,他們又進(jìn)行了一次CVE-2019-2725的攻擊嘗試,試圖發(fā)送GandCrab勒索軟件。這種雙重打擊的原因尚不清楚。
這次攻擊之所以引人注目,是因為攻擊者利用零日漏洞來分發(fā)勒索軟件。以前我們看到勒索軟件攻擊者利用未打補丁的系統(tǒng)來安裝和橫向傳播勒索軟件,而這種零日攻擊方法可以在其他完全打補丁的系統(tǒng)上工作。
二、Atlassian Confluence攻擊
CVE-2019-3396是Atlassian Confluence服務(wù)器和數(shù)據(jù)中心小部件連接器中的一個服務(wù)器端模板注入漏洞,可用于遠(yuǎn)程代碼執(zhí)行。
Atlassian在3月20日公開了它的存在,同時發(fā)布了這個流行的團隊協(xié)作平臺的新版本,它可以插入這個和另一個關(guān)鍵的服務(wù)器端請求偽造漏洞。攻擊者還試圖將GandCrab(從上述IP地址之一)放到易受攻擊的Atlassian Confluence實例上。Alert Logic研究人員分享道:“4月10日,[CVE-2019-3396]概念代碼的證明在公共領(lǐng)域公開,到第二天,我們觀察到第一次使用這種新載體的武器攻擊企圖。”
這是補丁發(fā)布后的第三周,但顯然,并不是每個人都抽出時間來修補他們的安裝。“由于未經(jīng)身份驗證的遠(yuǎn)程代碼執(zhí)行漏洞的結(jié)果,勒索軟件的再次出現(xiàn)可能是利用勒索軟件而不是密碼破解者的機會主義行為,因為使用的是該漏洞的性質(zhì)。”假設(shè)CVE-2019-3396的目標(biāo)是Confluence(這是一個wiki平臺),那么所討論的應(yīng)用程序可能包含有價值的公司信息,并且可能沒有得到足夠的備份。攻擊者可能會做出判斷,認(rèn)為在主機上挖掘加密貨幣的回報可能比預(yù)期的要高,”研究人員指出。
最后,趨勢科技的研究人員發(fā)現(xiàn)了利用CVE-2019-3396向易受攻擊的設(shè)備發(fā)送AESDDoS僵尸網(wǎng)絡(luò)惡意軟件變種的攻擊。
三、要做什么嗎?
用戶可能無法保護(hù)他們的WebLogic安裝,因為當(dāng)被利用時,這個漏洞是零日的,沒有可用的補丁。另一方面,Confluence用戶有足夠的時間來實現(xiàn)所提供的補丁。
但是現(xiàn)在所有的修復(fù)都是可用的,建議他們好好利用。不過,正如SANS技術(shù)研究所(SANS Technology Institute)研究主任約翰內(nèi)斯?烏爾里希(Johannes Ullrich)所指出的,WebLogic的設(shè)計使其特別容易反序列化漏洞。
SANS ISC處理器Rob VandenBrink也有同樣的觀點。“這里的根本原因似乎是受影響的WAR組件攝取并處理所有序列化的數(shù)據(jù),并擁有一個包含‘不良’內(nèi)容的黑名單。這對我來說意味著,在甲骨文改變這種方法之前,我們很可能會在接下來的一段時間里看到大量類似的漏洞/攻擊。”
參考鏈接:https://www.helpnetsecurity.com/2019/05/02/atlassian-confluence-oracle-weblogic-flaws/
原文鏈接:http://toutiao.secjia.com/article/page?topid=111495
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧