Peretasan server aplikasi Oracle membiarkan satu penyerang menambang Cryptocoin senilai $ 226.000

Jika Jika “java” tiba-tiba mati di server WebLogic atau PeopleSoft Anda, Anda mungkin ditambang untuk Monero.David Cairns / Getty Images

Dalam sebuah laporan yang diterbitkan pada 7 Januari oleh SANS Technology Di stitute, Peneliti Morphus Labs, Renato Marinho mengungkapkan apa yang tampak kampanye peretasan di seluruh dunia yang sedang berlangsung oleh banyak penyerang Server PeopleSoft dan WebLogic yang memanfaatkan aplikasi Web kerentanan server ditambal oleh Oracle akhir tahun lalu.

Bacaan lebih lanjut

Oracle meluncurkan 5 patch untuk kerentanan besar di PeopleSoft server aplikasi

Namun, para penyerang ini tidak mencuri data dari para korban — di Setidaknya sejauh yang bisa dikatakan siapa pun. Sebagai gantinya, eksploit digunakan untuk menambang cryptocurrency. Dalam satu kasus, menurut analisis diposting hari ini oleh SANS Dekan Penelitian Johannes B. Ullrich, sang penyerang menjaring setidaknya 611 koin Monero (XMR) – senilai $ 226.000 dolar cryptocurrency.

Serangan itu tampaknya memanfaatkan eksploitasi konsep-bukti kerentanan Oracle yang diterbitkan pada bulan Desember oleh orang Cina peneliti keamanan Lian Zhang. Segera setelah pembuktian konsep diterbitkan, ada laporan itu digunakan untuk instal cryptominers dari beberapa lokasi berbeda — serangan diluncurkan dari server (beberapa di antaranya kemungkinan server terkompromikan diri mereka sendiri) di-host oleh Digital Ocean, GoDaddy, dan Athenix.

“Para korban tersebar di seluruh dunia,” tulis Ullrich. “Ini bukan serangan yang ditargetkan. Setelah eksploitasi dipublikasikan, siapa pun dengan keterampilan scripting terbatas mampu berpartisipasi dalam mengambil ke server WebLogic / PeopleSoft. ”

Dalam kasus serangan yang didokumentasikan oleh Marinho, penyerang menginstal paket perangkat lunak penambangan Monero yang sah yang disebut xmrig pada 722 sistem WebLogic dan PeopleSoft yang rentan — banyak di antaranya berjalan pada layanan cloud publik, menurut Ulrich. Lebih dari 140 dari sistem itu berada di cloud publik Amazon Web Services, dan sejumlah kecil server ada di hosting dan cloud lainnya layanan — termasuk sekitar 30 di cloud publik Oracle sendiri layanan.

Kode exploit membuat pemindaian untuk sistem yang rentan menjadi mudah, jadi seluruh alam semesta dari Oracle Web yang terbuka untuk umum, yang tidak ditonton server aplikasi dapat dengan cepat menjadi korban ini dan lainnya serangan. Sisi baiknya, beberapa penambangan diam-diam ini upaya terdeteksi relatif cepat karena skrip dulu “Jatuhkan” alat penambangan juga membunuh proses “java” di Internet server yang ditargetkan — pada dasarnya mematikan server aplikasi dan menarik perhatian cepat dari administrator.

Pemasang yang digunakan dalam serangan Monero yang didokumentasikan adalah sederhana skrip bash. Ini mengeluarkan perintah untuk mencari dan membunuh yang lain penambang blockchain yang mungkin telah tiba sebelumnya, dan itu mengatur a Pekerjaan CRON untuk mengunduh dan meluncurkan alat penambang untuk mempertahankannya pijakan utuh.

Ullrich memperingatkan bahwa para korban tidak seharusnya hanya mengakhiri tanggapan mereka untuk gangguan ini dengan menambal server mereka dan menghapus perangkat lunak penambangan. “Sangat mungkin yang lebih canggih penyerang menggunakan ini untuk mendapatkan pijakan yang gigih pada sistem. Indalam kasus ini, satu-satunya ‘kegigihan’ yang kami perhatikan adalah pekerjaan CRON. Tapi ada banyak lagi, dan lebih sulit untuk dideteksi, cara untuk mendapatkan kegigihan.”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: