黑客利用Oracle WebLogic RCE漏洞传播勒索软件

利用新披露的、甚至修补过的漏洞在网络罪犯中变得很常见，这使得它成为日常威胁的主要攻击载体之一，比如密码挖掘、网络钓鱼和勒索软件。

正如人们所怀疑的那样，最近在被广泛使用的Oracle WebLogic服务器中披露的一个关键漏洞现在被发现被积极地利用来分发一个从未见过的勒索软件变体，研究人员将其称为“Sodinokibi”。

上周末，黑客新闻了解到Oracle WebLogic Server中存在一个重要的反序列化远程代码执行漏洞，该漏洞允许攻击者仅通过发送一个特别设计的HTTP请求(不需要任何授权)就可以在受影响的服务器上远程运行任意命令。

解决这个漏洞(cve - 2019 - 2725),它影响所有版本的Oracle WebLogic软件和被严重程度得分为9.8分(满分10,甲骨文推出一个带外的安全更新4月26日,仅一天后,公开脆弱性和几个在野外观察的攻击。

思科塔洛斯(Cisco Talos)威胁研究团队的网络安全研究人员表示，至少从4月25日起，一个不知名的黑客团体一直在利用这一漏洞，用一种新的勒索软件恶意软件感染易受攻击的服务器。

Sodinokibi是一种危险的勒索软件变体，它被设计用来加密用户目录中的文件，然后从系统中删除影子复制备份，以防止受害者在不支付赎金的情况下恢复数据。

部署勒索软件不需要交互


由于攻击者正在利用WebLogic服务器中的远程代码执行漏洞，与典型的勒索软件攻击不同，部署Sodinokibi勒索软件不需要用户交互。

一旦下载完毕，Sodinokibi勒索软件就会加密受害者的系统，并显示一张索要高达2500美元比特币的赎金通知。如果在指定的日期内没有支付赎金，赎金数额将增加一倍，达到5000美元，期限可能从两天到六天不等。

黑客还在安装GandCrab勒索软件

研究人员还指出，在一个受感染的系统上部署Sodinokibi大约8小时后，攻击者利用相同的WebLogic服务器漏洞，安装了另一个名为GandCrab的勒索软件(v5.2)。

攻击者至少从4月17日就开始利用Oracle WebLogic服务器的漏洞来散布加密货币矿工和其他类型的恶意软件。

WebLogic Server是一个流行的基于java的多层企业应用服务器，通常被企业用来支持企业应用程序，这使得它经常成为攻击者的目标，这些攻击者试图执行恶意操作，比如运行加密货币挖掘器和感染勒索软件。

使用Oracle WebLogic Server的组织应确保尽快将其安装更新到软件的最新版本。