Οι hackers εκμεταλλεύονται ενεργά τους servers Oracle WebLogic που δεν έχουν διορθωθεί έναντι του CVE-2020-14882 για να αναπτύξουν beacons Cobalt Strike που επιτρέπουν την συνεχή απομακρυσμένη πρόσβαση σε παραβιασμένες συσκευές.
Το Cobalt Strike είναι ένα νόμιμο εργαλείο penetration testing που χρησιμοποιείται από τους χάκερ σε tasks μετά την παραβίαση και για την ανάπτυξη των λεγόμενων beacons που τους επιτρέπουν να αποκτήσουν συνεχή απομακρυσμένη πρόσβαση.
Αυτό αργότερα τους επιτρέπει να έχουν πρόσβαση στους παραβιασμένους servers για να συλλέξουν δεδομένα και να αναπτύξουν malware payloads.
Εισερχόμενες επιθέσεις ransomware
Το ελάττωμα απομακρυσμένης εκτέλεσης κώδικα CVE-2020-14882 (RCE) επιδιορθώθηκε από την Oracle κατά τη διάρκεια του Critical Patch Update του περασμένου μήνα και χρησιμοποιήθηκε από τους εισβολείς για σάρωση για εκτεθειμένους servers WebLogic μία εβδομάδα αργότερα.
Έκτοτε, μια σχετική ευπάθεια RCE χωρίς έλεγχο ταυτότητας που αναφέρθηκε ως CVE-2020-14750 – η οποία επιτρέπει επίσης τη μη εξουσιοδοτημένη ανάληψη των unpatched instances – αντιμετωπίστηκε από μια ενημερωμένη έκδοση ασφαλείας που εκδόθηκε το περασμένο σαββατοκύριακο.
Αυτή η τελευταία σειρά επιθέσεων που έχουν ως στόχο τα ευπαθή instances WebLogic ξεκίνησε το σαββατοκύριακο, όπως αποκάλυψε ο χειριστής του SANS ISC, Renato Marinho, σε ένα advisory.
Οι επιτιθέμενοι χρησιμοποιούν μια αλυσίδα από scripts Powershell με κωδικοποίηση base64 για να κατεβάσουν και να εγκαταστήσουν τα payloads Cobalt Strike σε unpatched servers Oracle WebLogic.
Οι διαχειριστές παρακινήθηκαν να διορθώσουν τα συστήματα άμεσα
Δεδομένου ότι τόσο το CVE-2020-14882 όσο και το CVE-2020-14750 μπορούν εύκολα να αξιοποιηθούν από μη εξουσιοδοτημένους εισβολείς για να κάνουν ανάληψη των ευάλωτων server WebLogic, η Oracle συμβουλεύει τις εταιρείες να εφαρμόσουν αμέσως τις ενημερώσεις ασφαλείας για να αποκλείσουν τις επιθέσεις.
“Λόγω της σοβαρότητας αυτής της ευπάθειας, η Oracle συνιστά στους πελάτες να εφαρμόσουν τις ενημερώσεις που παρέχονται από αυτό το Security Alert το συντομότερο δυνατό μετά την εφαρμογή του Critical Patch Update του Οκτωβρίου 2020″, ανέφερε η εταιρεία στο advisory του Σαββατοκύριακου.
Η CISA κάλεσε επίσης τους διαχειριστές να εφαρμόσουν την ενημέρωση ασφαλείας το συντομότερο δυνατό για να αντιμετωπίσουν τις δύο κρίσιμες ευπάθειες.
Πηγή πληροφοριών: bleepingcomputer.com