Oracle WebLogic отримав виправлення вразливості десеріалізації
Oracle WebLogic отримав виправлення вразливості десеріалізації
Виправлена вразливість десеріалізації в Oracle WebLogic активно експлуатується кіберзлочинцями для встановлення на вразливі сервери майнерів криптовалюти.
Йдеться про вразливість десеріалізації (CVE-2019-2725), що дозволяє неавторизованому зловмиснику віддалено виконувати команди. Про проблему стало відомо у квітні нинішнього року, коли кіберзлочинці вже виявляли до неї інтерес. Oracle виправила вразливість наприкінці того ж місяця, проте, за даними Trend Micro, зараз вона активно використовується в атаках.
Як повідомляють дослідники, за допомогою вразливості зловмисники встановлюють на скомпрометовані машини ПЗ для майнінгу криптовалюти. Вони ховають шкідливий код у файлах цифрових сертифікатів для обходу виявлення.
Після виконання на системі шкідливість експлуатує вразливість до виконання команд і низки задач. Спочатку за допомогою PowerShell із C&C-сервера завантажується файл сертифіката, для розшифрування якого використовується легітимний інструмент CertUtil. Потім за допомогою PowerShell цей файл виконується на цільовій системі та видаляється за допомогою cmd.
Сертифікат виглядає як звичайний сертифікат у форматі Privacy-Enhanced Mail (PEM), однак має форму PowerShell замість звичного формату X.509 TLS. До отримання команди файл повинен розшифровуватися двічі, що дуже незвичайно, тому що команда експлоїту використовує CertUtil лише один раз.
Ідея використовувати файли сертифікатів для обфускування шкідливого коду далеко не нова. Проте реальні атаки з використанням цього методу раніше не виявлялися, а якщо й виявлялися, то дуже рідко.
