Une PoC concernant une faille colmatée d'Oracle WebLogic aurait été utilisée,
pour déployer un mineur de cryptomonnaie
Une vulnérabilité Oracle WebLogic, qui a reçu un correctif en octobre dernier, est exploitée sur des machines, qui n’ont pas encore installé la mise à jour, dans une campagne d’attaques. Cependant, les attaques ne visent pas à subtiliser des informations personnelles, mais à miner la cryptomonnaie monero.
Renato Marinho, directeur de la recherche chez Morphus Labs, est l’une des personnes qui ont parlé de cette campagne de minage : « Au cours des derniers jours, nous avons reçu des rapports concernant une campagne malveillante qui déploie des mineurs de la cryptomonnaie monero sur les machines de la victime. Après avoir analysé un environnement compromis, il a été possible de réaliser qu'une faille critique Oracle WebLogic, pour laquelle l'exploit a été rendu public il y a quelques jours, est utilisée.
« La vulnérabilité (CVE 2017-10271) est présente dans le composant WebLogic Web Services (wls-wsat) et, en raison d'une mauvaise gestion des entrées utilisateur, elle peut permettre à un attaquant distant non authentifié d'exécuter des commandes arbitraires distantes avec les privilèges de WebLogic utilisateur du serveur. « L'exploit est assez simple à exécuter et est livré avec un script Bash pour faciliter la recherche de victimes potentielles. Le script de test vérifie essentiellement la chaîne "Web Services" lors de l'accès à l'URL <HOST>/wls-wsat/CoordinatorPortType »
L’outil utilisé dans cette campagne, en plus de télécharger et d'exécuter le mineur, [tue accidentellement] le service WebLogic sur la machine cible – et cela a peut-être alerté certaines victimes, estime Marinho.
L’attaque semble s’appuyer sur une PoC de la vulnérabilité Oracle publiée en décembre dernier par le chercheur chinois en sécurité Lian Zhang. Il faut dire que le temps de découverte de cette campagne concorde également ; presque immédiatement après la publication de sa PoC.
C’est ce que semble penser Johannes B. Ullrich, doyen de la recherche au SANS Technology Institute : « Fin décembre, Lian Zhang, un chercheur chinois en sécurité, a publié un script d'exploit pour tirer profit de l'exploit. Le message de Lian n'est peut-être pas le premier, mais cela ressemble à l'exploit qui a été utilisé dans l'attaque discutée ici, et le message semble avoir suscité un intérêt accru pour cette faille. Le blog de Lian parle de CVE 2017-3506, mais l'exploit correspond à CVE-2017-10271. La CPU – Critical Patch Update – d’avril d'Oracle a corrigé le CVE 2017-3506, mais il ne l'a pas fait complètement, laissant une ouverture qui a été allouée à CVE-2017-10271. »
Et le doyen a donné plus de détails sur le mineur dont parlait Renato : « Le mineur, xmrig, n'est pas exactement un logiciel malveillant. C'est un mineur de tokens légitime pour monero. Le mineur est livré avec un fichier de configuration nous montrant où l'argent, qui est exploité en utilisant cette application, ira. Renato a été capable de récupérer un tel fichier de configuration, et le pool auquel le mineur se connectait montre que jusqu'à présent, 611 tokens monero ont été extraits par cet utilisateur, ce qui représente environ 226 070 $ actuellement. »
Il a également expliqué que PeopleSoft, un autre produit Oracle populaire qui peut utiliser WebLogic comme serveur Web, est également affecté. « PeopleSoft lui-même est un système de gestion de processus d'entreprise complexe. Le nom implique des fonctions de ressources humaines, mais le logiciel va bien au-delà des simples fonctionnalités RH. Généralement, "tout" dans une organisation vit dans PeopleSoft. Comme vous pouvez probablement l'imaginer, un système PeopleSoft compromis est à peu près la pire compromission pour une entreprise. »
Le doyen a donné quelques indications qui pourraient être utiles pour savoir si vous avez été compromis :
- utilisation élevée du processeur ;
- connexions sortantes vers un pool de minage (les chercheurs ont notamment observé des connexions à hashvault.pro et à ces adresses IP : 145.239.0.84, 104.207.141.144 et 45.76.198.204) (ils demandent également de noter que certains pools de minage sont derrière des services proxy comme Cloudflare et qu'il peut s'agir d'adresses IP partagées) ;
- hashes : 7153ac617df7aa6f911e361b1f0c8188ca5c142c6aaa8faa2a59b55e0b823c1c fs-managerd7d6ed5b968858699c2f6aee6a0024a4c9574f1c2153f46940476e15194f848e xmrig-y.
Comme le souligne le doyen, « Un attaquant aurait probablement pu faire beaucoup plus de dégâts à une organisation en exfiltrant les données qui se trouvent sur le système, ou pire, en les modifiant. »
Source : billet Renato Marino, billet du doyen
Partager