攻击者正在积极利用Oracle WebLogic和Atlassian Confluence中的Widget Connector的漏洞,来传递勒索软件、挖掘加密货币,并让受攻击的机器参与DDoS攻击。
一、Oracle WebLogic攻击
CVE-2019-2725是一个反序列化远程命令执行漏洞,影响所有启用了两个特定组件的Oracle WebLogic版本。它在4月21日被公开披露,Oracle在4月25日发布了一个带外安全补丁。Oracle WebLogic服务器经常成为攻击者的目标,这些攻击者想要使用他们的资源进行秘密加密。
CVE-2019-2725也是如此。4月28日,帕洛阿尔托网络公司(Palo Alto Networks)的42部门发布了Linux僵尸网络Muhstik的一个新版本,该版本利用了该漏洞,并对Linux服务器和物联网设备进行了攻击,以进行加密和DDoS攻击。但该漏洞也被用来安装勒索软件,先是Sodinokibi,然后是GandCrab。
思科Talos研究人员指出:“勒索软件攻击的初始阶段发生在4月25日,也就是甲骨文发布更新的前一天。” 攻击者利用这个漏洞,让易受攻击的服务器从他们控制的两个IP地址下载勒索软件,并且显然成功地加密了许多系统。但是,他们并不满足于此,仅仅几小时后,他们又进行了一次CVE-2019-2725的攻击尝试,试图发送GandCrab勒索软件。这种双重打击的原因尚不清楚。
这次攻击之所以引人注目,是因为攻击者利用零日漏洞来分发勒索软件。以前我们看到勒索软件攻击者利用未打补丁的系统来安装和横向传播勒索软件,而这种零日攻击方法可以在其他完全打补丁的系统上工作。
二、Atlassian Confluence攻击
CVE-2019-3396是Atlassian Confluence服务器和数据中心小部件连接器中的一个服务器端模板注入漏洞,可用于远程代码执行。
Atlassian在3月20日公开了它的存在,同时发布了这个流行的团队协作平台的新版本,它可以插入这个和另一个关键的服务器端请求伪造漏洞。攻击者还试图将GandCrab(从上述IP地址之一)放到易受攻击的Atlassian Confluence实例上。Alert Logic研究人员分享道:“4月10日,[CVE-2019-3396]概念代码的证明在公共领域公开,到第二天,我们观察到第一次使用这种新载体的武器攻击企图。”
这是补丁发布后的第三周,但显然,并不是每个人都抽出时间来修补他们的安装。“由于未经身份验证的远程代码执行漏洞的结果,勒索软件的再次出现可能是利用勒索软件而不是密码破解者的机会主义行为,因为使用的是该漏洞的性质。”假设CVE-2019-3396的目标是Confluence(这是一个wiki平台),那么所讨论的应用程序可能包含有价值的公司信息,并且可能没有得到足够的备份。攻击者可能会做出判断,认为在主机上挖掘加密货币的回报可能比预期的要高,”研究人员指出。
最后,趋势科技的研究人员发现了利用CVE-2019-3396向易受攻击的设备发送AESDDoS僵尸网络恶意软件变种的攻击。
三、要做什么吗?
用户可能无法保护他们的WebLogic安装,因为当被利用时,这个漏洞是零日的,没有可用的补丁。另一方面,Confluence用户有足够的时间来实现所提供的补丁。
但是现在所有的修复都是可用的,建议他们好好利用。不过,正如SANS技术研究所(SANS Technology Institute)研究主任约翰内斯•乌尔里希(Johannes Ullrich)所指出的,WebLogic的设计使其特别容易反序列化漏洞。
SANS ISC处理器Rob VandenBrink也有同样的观点。“这里的根本原因似乎是受影响的WAR组件摄取并处理所有序列化的数据,并拥有一个包含‘不良’内容的黑名单。这对我来说意味着,在甲骨文改变这种方法之前,我们很可能会在接下来的一段时间里看到大量类似的漏洞/攻击。”