В начале года программное обеспечение Oracle подверглось новым атакам взломщиков, направленным на майнинг криптовалюты. В результате злоумышленники похитили 611 токенов Monero, что эквивалентно 226 тыс. долларов. В основу этой кампании легла уязвимость CVE 2017-10271, имеющаяся в серверах приложений WebLogic и PeopleSoft, а также доступная через привязанные к ним виртуальные серверы Amazon и Oracle.

Отметим, что программа PeopleSoft используется компаниями для управления базами клиентов, финансового планирования и управления персоналом, а WebLogic — это семейство продуктов, включающее сервер приложений J2EE, инструменты для разработки приложений, портал, интеграционные продукты и другое.

Атаку обнаружил Ренато Мариньо (Renato Marinho), исследователь по кибербезопасности из Morphus Labs. Подозрение вызвали сбои в работе серверов WebLogic из-за их перегрузки. Позже выяснилось, что эксплойт разработан с помощью bash-скрипта, который позволяет легко находить новые мишени для атак, а преступники при желании могут не только добывать криптовалюту, но и похищать важные для компании сведения.

Как ни странно, мошенники, имея доступ ко всей информации, хранящейся в атакованных информационных системах, эксплуатировали разработанный PoC-эксплойт только для добычи криптовалюты. Как отмечает эксперт по безопасности Йоханнес Ульрих (Johannes Ullrich), вероятно, по мнению злоумышленников, майнинг должен принести им больше прибыли, чем похищенные документы и базы данных.

Хуан Перес-Этчегойен (JP Perez-Etchegoyen), технический директор Onapsis, также отмечает, что для вторжения в Oracle EBS (12.1 и 12.2) взломщикам нужно иметь лишь доступ в Интернет и к корпоративной системе через HTTP. С помощью этих компонентов они могут повредить, поменять или похитить сведения, хранящиеся на серверах компании, например информацию о банковских картах, финансовых и кадровых документах. Эксперты из Onapsis также обратили внимание пользователей Oracle EBS на заметный рост числа уязвимостей этого продукта, составивший, по их данным, 29%.

Важно, что компания Oracle еще в октябре 2017 года выпустила 250 различных патчей, в том числе для CVE 2017-10271. Накануне их запуска сам Ларри Эллисон (Larry Ellison), один из основателей Oracle, выступивший на конференции Open World, подчеркнул необходимость усиления безопасности продуктов компании, зачастую являющихся ключевыми для крупного бизнеса.

Однако несмотря на призывы экспертов, многие пользователи до сих пор не обновились. Ко всему прочему, исследование, проведенное компанией Ponemon Research, показало, что больше половины компаний-респондентов (70%) не включает в планы ежемесячные обновления в области безопасности для Oracle EBS.

Тем же, кто все-таки планирует установить новые патчи, стоит помнить, что для начала необходимо проверить системы на предмет уже совершенных злоумышленниками вторжений.

Категории: Главное, Уязвимости