pixel_dreams - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Cibercriminales explotan la falla de WebLogic de Oracle

Los investigadores instan a las empresas a aplicar una actualización de seguridad para corregir un defecto en el componente del servidor WebLogic de Oracle que está siendo explotado para minar criptomonedas.

Una campaña de ciberdelincuentes está implementando mineros de la criptomoneda Monero en cientos de máquinas de víctimas mediante la explotación de una falla en las versiones no parchadas de Fusion Middleware de Oracle, advirtieron investigadores de seguridad.

La campaña mundial está utilizando un exploit recientemente publicado para la falla (CVE-2017-10271), que fue parchada por Oracle en octubre de 2017.

El exploit es simple de ejecutar y viene con un script Bash para facilitar el escaneo de posibles víctimas, según Renato Marinho, investigador de seguridad de Morphus Labs.

La vulnerabilidad afecta cuatro versiones compatibles de Oracle Fusion Middleware –10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 y 12.2.1.2.0– y al menos una versión no compatible (10.3.3.0) para la cual no existe parche

El criptominado (cryptomining) es un proceso utilizado para generar bitcoin, Monero y otras criptomonedas. Requiere grandes cantidades de poder de procesamiento de cómputo, lo que ralentiza el rendimiento.

A medida que los precios de las criptomonedas han comenzado a dispararse, particularmente bitcoin, los ciberdelincuentes han comenzado a usar criptomineros para ganar dinero.

A menudo, las únicas indicaciones de que una máquina está siendo secuestrada para minar criptomonedas es un rendimiento reducido, un aumento en el uso de la CPU, o un aumento inusual de la temperatura.

Sin embargo, el script dropper usado para descargar el minero en la campaña generadora de Monero mata accidentalmente el servicio WebLogic en máquinas objetivo, lo que puede haber alertado a algunas víctimas, escribió Marinho en una publicación de blog de los foros de seguridad de la información de SANS ISC.

Los ataques parecen haber comenzado en diciembre después de que el investigador de seguridad chino Lian Zhang publicara un exploit de prueba de concepto, según Johannes Ullrich, decano de investigación en el Instituto de Tecnología SANS.

"La publicación de Lian puede no ser la primera, pero se parece al exploit que se usó en el ataque discutido aquí, y la publicación parece haber empezado un creciente interés en este error", escribió en una publicación de blog.

Según Ullrich, el minero que se usa en la campaña es xmrig, que es un minero de criptomonedas legítimo para Monero.

La vulnerabilidad explotada afecta a WebLogic, pero los investigadores también encontraron algunos servidores de PeopleSoft explotados de la misma manera.

Solo en enero, los investigadores pudieron identificar 722 computadoras afectadas, con una alta concentración de direcciones IP afectadas en los proveedores de la nube.

"Esto no es una sorpresa, ya que muchas organizaciones están trasladando sus datos más críticos a la nube para facilitar que los malos lleguen a ellos", escribió Ullrich.

El ataque no parece tener un objetivo, con víctimas distribuidas en todo el mundo. "Una vez que se publicó el exploit, cualquiera con habilidades limitadas de scripting pudo participar en hacer caer los servidores WebLogic (/ PeopleSoft)", escribió.

Ullrich dijo que las víctimas no deberían intentar solucionar el problema simplemente eliminando el software de minería y parchando su servidor. "Su servidor era vulnerable a un exploit de ejecución remota de código fácil de ejecutar", escribió. "Es muy probable que los atacantes más sofisticados usaron esto para obtener un punto de apoyo permanente en el sistema".

Los investigadores también advirtieron que la vulnerabilidad de WebLogic podría aprovecharse para hacer otras cosas más allá de la instalación de un minero de criptomoneda porque permite a cualquier atacante remoto no autenticado ejecutar comandos arbitrarios remotos con los privilegios del usuario del servidor de WebLogic.

Cualquier servidor WebLogic y PeopleSoft que todavía no haya instalado el parche podría ser atacado por ataques que explotan el defecto, advirtieron los investigadores.

"En este caso, el objetivo de la campaña es extraer criptomonedas, pero, por supuesto, la vulnerabilidad y el exploit pueden usarse para otros fines", dijo Marinho. "Verifique esta vulnerabilidad en su entorno y, si es necesario, aplique los parches lo antes posible".

También recomendó que las organizaciones comprueben si un entorno vulnerable ya puede haberse visto comprometido analizando cuidadosamente los procesos con un consumo de CPU alto y constante.

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close