Ransomware może być zdalnie uruchomiony na serwerach WebLogic

Jeżeli korzystasz z WebLogic Server firmy Oracle i nie wprowadziłeś jeszcze najnowszych poprawek, zrób to natychmiast. Luka w oprogramowaniu serwera pozwala hakerom na zdalne pobieranie i uruchamianie oprogramowania typu ransomware.

Wczoraj zespół bezpieczeństwa Cisco Talos ogłosił, że wewnętrzny system jednego z ich klientów został zainfekowany 25 kwietnia oprogramowaniem ransomware, wykorzystującym opisaną lukę, chociaż uważa się, że exploit mógł być znany nawet od 17 kwietnia. Luką jest podatność na deserializację, którą można wykorzystać do wykonania złośliwego kodu na zdalnym serwerze WebLogic bez konieczności podania nazwy użytkownika lub hasła. Haker musi tylko być w stanie dotrzeć do zagrożonej usługi przez Internet.

Ransomware nie wymagający interakcji

Przywykliśmy do tego, że większość odmian oprogramowania ransomware, wymagała pewnej formy interakcji ze strony użytkownika, takiej jak otwarcie załącznika do wiadomości e-mail, kliknięcie w złośliwy link lub uruchomienia szkodliwego oprogramowania na urządzeniu. W tym przypadku napastnicy wykorzystali lukę Oracle WebLogic, powodując pobranie przez serwer, którego dotyczy problem, kopii oprogramowania ransomware z adresów IP, kontrolowanych przez atakującego. Atakującym udało się ostatecznie zaszyfrować wiele systemów podczas tego incydentu przy użyciu nowego oprogramowania ransomware zwanego Sodinokibi.

Przestępcy wykorzystali PowerShell do pobrania pliku o nazwie radm.exe, który zawierał oprogramowanie ransomware. radm.exe wyłączał domyślne mechanizmy tworzenia kopii zapasowych systemu Windows, aby uniemożliwić odzyskanie systemu. Następnie wykonywał masowe szyfrowanie plików i wyświetlał okno z żądaniem płatności w Bitcoinach za odszyfrowanie. Cena miała wzrosnąć dwukrotnie po upływie trzech dni bez płatności.

Osiem godzin po początkowym ataku na klienta Talosa, operatorzy szkodliwego oprogramowania przeszli do pobrania i uruchomienia drugiego szkodliwego oprogramowania, Gandcrab v5.2, które zostało wydane 19 lutego tego roku.

To dziwne zachowanie mogło być wczesną reakcją na nieudany atak i próbą zmaksymalizowania zarobków. Warto zaznaczyć, że Gandcrab jest bardziej sprawdzony niż Sodinokibi, które jest wciąż młodym ransomwarem.

Ostatecznie zespół Talos był w stanie pomóc swojemu klientowi pozbyć się infekcji, ale ostrzegł, że może się ich wydarzyć dużo więcej. Biorąc pod uwagę dużą liczbę serwerów WebLogic, ten wektor ataku najprawdopodobniej zostanie wykorzystany ponownie.

Bezpieczeństwo za paywallem

Wada, która została wykorzystana w ataku, była po raz pierwszy zidentyfikowana 25 kwietnia i nazwana CVE-2019-2725. W piątek, 26 kwietnia Oracle wypuścił łatkę, oceniając jej ważność na 9,8 na 10 i nakłaniając wszystkich do update’u. Problemem dotknięte są wersje 10.2.6.0 i 12.1.3.0

Niestety łatka jest dostępna tylko za pośrednictwem programu Security Alert, a program ten dotyczy jedynie wersji produktów objętych fazami wsparcia technicznego lub wsparcia rozszerzonego w ramach zasad Lifetime Support. Firma Oracle zaleca klientom aktualizację produktu do wersji Extended Support lub Premier Support. Wersje produktów, które nie są objęte wsparciem technicznym lub wsparciem rozszerzonym, nie są testowane na obecność luk w zabezpieczeniach, o których mowa w tym alercie bezpieczeństwa. Istnieje jednak prawdopodobieństwo, że luki te dotyczą także starszych wersji wydań, których dotyczy problem.

Cytując oficjalne zalecenia firmy Oracle: Oracle zaleca upgrade do wersji ze wsparciem technicznym.