سرورWebLogic اوراکل، راه نفوذ باج افزار‌ها

RCE WebLogic oracle

اخیرا، آسیبب‌پذیری بحرانی در سرور Weblogic اوراکل شناسایی شده که به طور گسترده ای مورد سوء استفاده قرار گرفته است و در حال حاضر به طور فعال برای توزیع یک باج افزار جدید استفاده می‌شود که محققان ان را “Sodinokibi” می‌نامند.

هفته‌ی پیش، سایت  خبری thehackernews.com درباره‌ی آسیب پذیری کد کنترل از راه دور در سرور WebLogic اوراکل منتشر کرد که مهاجمان را قادر می‌ساخت تنها از طریق فرستادن یک درخواست HTTP ویژه به صورت دستی و بدون نیاز به هیچ گونه مجوزی، دستورات دلخواه خود را روی سرور اجرا کنند.

برای رفع این آسیب پذیری CVE-2019-2725، که بر تمامی نسخه‌های نرم افزار اوراکل  WebLogicتأثیر گذاشته بود، اوراکل در26 آوریل، بروزرسانی امنیتی منتشر کرد، فقط یک روز بعد از افشای این آسيب پذيري، چندين مورد حمله گزارش شد.

طبق گفته‌ی محققان سايبري از گروه امنیتی Cisco Talos، گروهي ناشناخته از هكرها از 26 آوريل تاكنون، سرور‌های آسیب‌پذیر را به باج افزار آلوده کردند.

Sodinokibi چیست؟

Sodinokibi یک نوع خطرناک از باج افزارها است که برای رمزگذاری فایل‌ها در دایرکتوری کاربران طراحی شده است و می‌تواند کلیه‌ی نسخه‌های پشتیبان را نیز حذف کند.

از آن جا که مهاجمان از اسیب‌پذیری کدهای کنترل از راه دور سرور استفاده می‌کنند، برخلاف حملات باج افزاری معمولی، نصب این باج افزار نیاز به هیچگونه تعاملی با کاربر ندارد. پس از بارگیری، باج افزار Sodenokibi سیستم‌های قربانی را رمزگذاری می‌کند ویک درخواست باج پنج هزار  دلاری به صورت بیت کوین را نمایش می‌دهد و به ازای هر روز تاخیر این مبلغ را دوبرابر می‌کند. قربانی تنها 6روز برای پرداخت این مبلغ فرصت دارد و پس از ان کلیه اطلاعات نابود می‌شود.

Sodinokibi message

تقریبا هشت ساعت پس از استقرار باج افزارSodinokibi   در سیستم قربانی، مهاجمان یک باج افزارشناخته شده‌ی دیگر به عنوان GandCrab (v5.2)  را نیز در ان سیستم نصب کردند.  مهاجمان حداقل ازهم اکنون که خبر منتشر می‌شود، به دنبال سرورهای اوراکل اسیب پذیر هستند تاسوء استفاده کنند.

WebLogic چیست؟

سرورWebLogic  یک نرم افزار چند منظوره مبتنی بر جاوا است که به طور معمول توسط شرکت‌ها برای پشتیبانی از برنامه‌های سازمانی استفاده می‌شود و با این آسیب‌پذیری پیدا شده الان مورد توجه هکرها قرار گرفته است. سازمان‌هایی که از سرور WebLogic اوراکل استفاده می‌کنند باید اطمینان حاصل کنند که از آخرین نسخه نرم افزار استفاده می‌کنند و یا در اولین فرصت بروز رسانی کنند.

Hackers Found Exploiting Oracle WebLogic RCE Flaw to Spread Ransomware