خادم تطبيقات أوراكل الإختراق اسمحوا مهاجم واحد الألغام 226000 دولار بقيمة cryptocoins

إذا إذا قد تموت “java” فجأة على خادم WebLogic أو PeopleSoft لديك يتم الحصول على المناجم ل Monero.David Cairns / Getty Images

في تقرير نشره في 7 يناير معهد SANS Technology ، وكشف الباحث مورفوس مختبرات ريناتو مارينهو ما يبدو أن حملة القرصنة المستمرة في جميع أنحاء العالم من قبل المهاجمين متعددة ضد خوادم PeopleSoft و WebLogic تستفيد من تطبيق ويب ضعف الخادم مصححة من قبل أوراكل أواخر العام الماضي.

قراءة متعمقة

أوراكل يندفع من 5 بقع بحثًا عن نقاط ضعف هائلة في برنامج PeopleSoft خادم التطبيق

هؤلاء المهاجمون لا يسرقون البيانات من الضحايا ، ولكن في أقل ما يمكن لأي شخص أن يقول. بدلاً من ذلك ، يتم استغلال استغلال لاستخراج العملات المشفرة. في حالة واحدة ، وفقا للتحليل نشرها اليوم من قبل SANS عميد البحث يوهانس أولريتش ، المهاجم صافي ما لا يقل عن 611 قطعة نقدية من العملات المعدنية (XMR) – قيمتها 226000 دولار العملة المشفرة.

يبدو أن الهجمات استفادت من إثبات صحة الفكرة من الضعف أوراكل التي نشرت في ديسمبر من قبل الصينية باحث الأمن ليان تشانغ. تقريبا على الفور بعد الإثبات من المفهوم تم نشره ، كانت هناك تقارير عن أن تستخدم ل تثبيت cryptominers من عدة مواقع مختلفة – الهجمات تم إطلاقها من خوادم (بعضها من المحتمل خوادم خاسرة أنفسهم) المستضافة بواسطة Digital Ocean و GoDaddy و Athenix.

“يتم توزيع الضحايا في جميع أنحاء العالم” ، كتب أولريتش. “هذه ليس هجومًا مستهدفًا. بمجرد نشر استغلال ، أي شخص مع مهارات البرمجة النصية المحدودة كانت قادرة على المشاركة في اتخاذ أسفل خوادم WebLogic / PeopleSoft. ”

في حالة الهجوم الموثق من قبل مارينهو ، المهاجم تثبيت حزمة برامج تعدين Monero شرعية تسمى xmrig على 722 من أنظمة WebLogic و PeopleSoft الضعيفة – العديد منها يعمل على الخدمات السحابية العامة ، وفقا لأولريتش. أكثر من 140 من هذه الأنظمة كانت في السحابة العامة لشركة Amazon Web Services ، وكانت أعداد أقل من الخوادم على استضافة أخرى والسحابة خدمات — بما في ذلك 30 تقريبًا على السحابة العامة الخاصة بـ Oracle الخدمات.

يجعل رمز استغلال المسح الضوئي للأنظمة الضعيفة أمرًا بسيطًا ، وبالتالي فإن الكون بأكمله من Oracle Web المكشوف علنًا وغير مسبوق خوادم التطبيقات يمكن أن تقع بسرعة ضحية لهذه وغيرها الهجمات. على الجانب المشرق ، بعض هذه التعدين الخفي تم اكتشاف الجهود بسرعة نسبية لأن البرنامج النصي اعتاد على “إسقاط” أداة التعدين قتل أيضا عملية “جافا” على الخوادم المستهدفة – إيقاف خادم التطبيق بشكل أساسي ولفت الانتباه السريع من المسؤولين.

المثبت المستخدم في هجوم Monero الموثق كان بسيطًا باش النصي. إنها تصدر أوامر للبحث عن الآخرين وقتلهم عمال المناجم blockchain التي قد وصلت قبل ذلك ، وأنه ينشئ مهمة CRON لتنزيل وإطلاق أداة التعدين من أجل الحفاظ عليها موطئ قدم سليمة.

حذر أولريتش من أن الضحايا يجب ألا ينهوا ببساطة ردهم لهذه التدخلات عن طريق الترقيع خوادمهم وإزالة برامج التعدين. “من المرجح جدا أن أكثر تطورا استخدم المهاجمون هذا للحصول على موطئ قدم ثابت على النظام. في في هذه الحالة ، كان “الثبات” الوحيد الذي لاحظناه هو وظيفة CRON. لكن هناك العديد من الطرق وأكثر صعوبة في اكتشافها إصرار.”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: