Según los investigadores de Juniper, la botnet DarkIRC lleva desde algún tiempo apuntando a servidores Oracle WebLogic con esta vulnerabilidad aun sin parchear, expuesto a cualquier tipo de ataque que aproveche esta vulnerabilidad critica (recordemos que está vulnerabilidad tiene un 9.8 de 10 en su valoración de criticidad), al ser explotada esta permite ejecución de código arbitrario. Está no es la primera campaña de ciberataques basados en este CVE, el mes pasado ya hubo un ataque masivo a servidores Oracle WebLogic explotando este CVE.
En el ataque masivo del mes pasado se utilizo por parte de los atacantes Cobalt Stirke, para una vez obtenido acceso al servidor Oracle WebLogic, exfiltrar datos y poder implementar nuevas cargas útiles para emplear estos sistemas comprometidos para otros fines, lo más común es utilizar el equipo comprometido en una red de bots siendo gestionado por un servidor command and control.
En este caso DarkIRC se aprovecha de la vulnerabilidad con un script de PowerShell ejecutado a través de una solicitud HTTP GET que contiene un malware con capacidad anti-análisis y anti-sandbox. Una vez está dentro, DarkIRC tiene la capacidad de registrar teclas, ejecutar comandos en el servidor, el robo de credenciales y propagarse a través de MSSQL y RDP (fuerza bruta) entre otras.
Según una búsqueda con Shodan, unos 2.973 servidores de
Oracle WebLogic expuestos al internet son potencialmente vulnerables a ataques
remotos que se aprovechen de explotar la vulnerabilidad anterior.
No hay comentarios:
Publicar un comentario