威胁行动者正在积极利用未针对CVE-2020-14882修补的Oracle WebLogic服务器来部署Cobalt Strike信标,该信标允许对受感染设备的持久远程访问。
Cobalt Strike是一种合法的渗透测试工具,威胁参与者也可以在攻击后的任务中使用该工具,并部署所谓的信标,使他们能够获得持久的远程访问权限。
这样一来,他们就可以访问受感染的服务器以收集数据并部署第二阶段的恶意软件有效负载。
传入勒索软件攻击
Oracle在上个月的重要补丁更新中修补了CVE-2020-14882远程代码执行(RCE)漏洞,攻击者使用它在一周后扫描暴露的WebLogic服务器。
从那时起,上周末发布的带外安全更新解决了一个相关的未经身份验证的RCE漏洞,该漏洞被跟踪为CVE-2020-14750,还允许未经身份验证的人接管未打补丁的实例。
正如SANS ISC处理程序Renato Marinho在一份通报中透露的那样,针对脆弱的WebLogic实例的最新系列攻击始于周末。
攻击者正在使用一系列base64编码的Powershell脚本在未打补丁的Oracle WebLogic服务器上下载并安装Cobalt Strike有效负载。
“有趣的是,所有的勒索软件攻击的66%,本季度参与红联手框架钴打击,这表明勒索者越来越依赖于工具,因为他们放弃商品木马,”思科塔洛斯事件响应(CTIR)团队发现在九月季度报告。
敦促管理员尽快修补
鉴于未经身份验证的攻击者可以轻松利用CVE-2020-14882和CVE-2020-14750来接管易受攻击的WebLogic服务器,因此Oracle建议公司立即应用安全更新来阻止攻击。
该公司在周末发布的一份咨询报告中说:“由于此漏洞的严重性,Oracle强烈建议客户在应用2020年10月重要补丁更新后尽快应用此安全警报提供的更新。”
Oracle安全保证主管Eric Maurice在周日宣布带外安全更新的博客文章中还共享了指向WebLogic Server强化说明的链接。
网络安全和基础结构安全局(CISA)还敦促管理员尽快应用安全更新,以解决这两个关键漏洞。
网络安全公司Spyse运行IT基础设施搜索引擎,发现了3,300多个暴露的Oracle WebLogic服务器,这些服务器可能容易受到CVE-2020-14882攻击。
*编译:Domino
*来自:bleepingcomputer