Uso reciente de Oracle WebLogic zero-day para infectar servidores con ransomware

Se ha abusado de una vulnerabilidad de día cero recientemente descubierta durante más de una semana para infectar los servidores Oracle WebLogic con al menos dos hilos de ransomware, dijeron investigadores de seguridad de Cisco Talos. ZDNet.

Ver también

10 peligrosas vulnerabilidades de aplicaciones a tener en cuenta (PDF gratuito)

Los delincuentes han abusado de este día cero para instalar una nueva cadena de ransomware llamada Sodinokibi, pero también versiones del ransomware GandCrab más antiguo y más conocido, en algunos casos.

Orientación ineficiente de servidores WebLogic

Estos ataques de ransomware son un reto para los expertos de la industria.

Oracle WebLogic es un tipo de servidor web que se encuentra entre el frontend y el backend de aplicaciones web a gran escala y tiene un alcance muy limitado y estrecho: redirigir las solicitudes web a la parte adecuada de un backend y devolver los resultados al frontend.

Es una herramienta de middleware muy simple pero poderosa, es fácil de respaldar y fácil de reinstalar en minutos. Debido a esto, la instalación de ransomware en servidores Oracle WebLogic es tan inútil como las campañas anteriores de ransomware que se dirigieron a sitios de Magento o Drupal.

Los propietarios de servidores pueden restaurar fácilmente a partir de copias de seguridad o reinstalar un servidor sin perder el acceso a archivos confidenciales, ya que solo tienen que reinstalar algunas aplicaciones de lógica comercial, ya que la mayoría de los datos del usuario se guardan en algún lugar dentro de una base de datos y a salvo del ransomware.

“Es como instalar ransomware en un servidor web”, dijo Jaeson Schultz, líder técnico de Cisco Talos. ZDNet en un correo electrónico. “Debido a esto, el alcance del ataque que investigamos fue severamente limitado”.

“En este caso, la víctima tenía copias de seguridad, registros e incluso capturas de paquetes de la actividad infractora que funcionaban, lo que ayudó mucho a nuestro análisis”.

WebLogic zero-day ahora ha recibido un parche

Según un informe que el equipo de Schultz publicó hoy, los atacantes explotaron CVE-2019-2725, un día cero en los componentes WLS9_ASYNC y WLS-WSAT de WebLogic.

La vulnerabilidad fue descubierta por la firma china de seguridad cibernética KnownSec 404 el 21 de abril, el pasado domingo.

Al principio, los atacantes escanearon Internet en busca de servidores WebLogic vulnerables y solo probaron la efectividad del día cero. Sin embargo, durante la semana pasada, a medida que el código de prueba de concepto estuvo más disponible, los atacantes también comenzaron a infectar los servidores de Oracle WebLogic con malware real.

Los ataques que arrojaron ransomware comenzaron el 25 de abril, un día antes de que Oracle lanzara una rara actualización de seguridad fuera de banda con un parche para los propietarios de servidores WebLogic.

Los atacantes desplegaron el nuevo ransomware Sodinokibi

Talos dijo que inicialmente detectó a un grupo de piratas informáticos que lanzaba la nueva variedad de ransomware Sodinokibi, mientras que en ataques posteriores también instalaron el ransomware GandCrab, a veces dirigido a servidores previamente infectados con Sodinokibi solo unas horas antes.

“A veces, las mentes de los ciberdelincuentes son verdaderamente inescrutables”, dijo Schultz. ZDNet.

“Nos parece extraño que los atacantes elijan distribuir ransomware adicional y diferente en el mismo objetivo. Sodinokibi es un nuevo tipo de ransomware, tal vez los atacantes sintieron que sus intentos anteriores no habían tenido éxito y todavía buscaban sacar provecho distribuyendo Gandcrab.

“No tenemos ningún dato concreto que establezca el razonamiento detrás del ataque”, dijo Schultz. “Sin embargo, una posibilidad es que los atacantes supieran que se les estaba acabando el tiempo para poder explotar este Oracle WebLogic 0-day, por lo que estaban tratando de sacar el mayor beneficio posible en el tiempo limitado que tenían disponible.

“También podría explicar por qué los atacantes intentaron implementar dos familias de ransomware diferentes en la red de la víctima”.

Nota de rescate de Sodinokibi — Imagen: Cisco Talos

Los propietarios del servidor deben actualizar lo antes posible

Los propietarios de servidores Oracle WebLogic deben ser conscientes de que cada vez que se ha revelado una vulnerabilidad de WebLogic en el pasado, los grupos de ciberdelincuentes la han abusado en gran medida, y especialmente aquellos involucrados en campañas de criptominería.

Si bien los ataques de ransomware pueden ser inútiles cuando están dirigidos a los servidores de WebLogic, los propietarios de los servidores deben tomarse el tiempo para aplicar el parche reciente de Oracle para evitar otros tipos de ataques, que seguramente vendrán, si queremos aprender algo de los ataques anteriores en los servidores de WebLogic.

Servicios en la nube: 24 servicios web menos conocidos… VER GALERÍA COMPLETA

1 – 5 de 24 SIGUIENTE ANTERIOR

Seguridad

Cuando su VPN es una cuestión de vida o muerte, no confíe en las reseñas
Las pandillas de ransomware se quejan de que otros ladrones están robando sus rescates
El CEO de Bandwidth confirma las interrupciones causadas por un ataque DDoS
Estos sistemas enfrentan miles de millones de ataques cada mes cuando los piratas informáticos intentan adivinar las contraseñas.
Cómo conseguir un trabajo mejor pagado en ciberseguridad
Ciberseguridad 101: Proteja su privacidad de piratas informáticos, espías, el gobierno