Oracle WebLogic Server sotto una ondata di attacchi informatici

I ricercatori di Imperva hanno rilevato l’attività del gruppo 8220, che sfrutta una vulnerabilità di elevata gravità in Oracle WebLogic Server per distribuire il suo software dannoso.

Il problema in questione è il CVE-2020-14883 ( punteggio CVSS 7.2), una vulnerabilità legata all’esecuzione di codice in modalità remota ( RCE ) che può essere utilizzata da aggressori autenticati per prendere il controllo dei server vulnerabili.

“Questa vulnerabilità consente agli aggressori autenticati di eseguire codice tramite una catena di exploit ed è spesso associata a CVE-2020-14882 (una vulnerabilità di bypass dell’autenticazione che colpisce anche Oracle WebLogic Server) o all’uso di credenziali trapelate, rubate o deboli“, ha affermato Imperva nel suo rapporto.

Il gruppo 8220 ha già esperienza nell’utilizzo di vulnerabilità di sicurezza note per distribuire malware a scopo di cryptojacking. Nel maggio di quest’anno, hanno utilizzato un’altra vulnerabilità nei server Oracle WebLogic (CVE-2017-3506, punteggio CVSS 7.4) per aggiungere dispositivi a una botnet per il mining di criptovaluta.

Le recenti catene di attacchi documentate da Imperva includono l’uso di CVE-2020-14883 per creare file XML appositamente predisposti e quindi eseguire il codice per il furto di dati e il mining di criptovaluta come Agent Tesla, rhajk e nasqa.

“Il gruppo sembra operare ad hoc, senza una chiara tendenza nelle scelte del proprio paese o del proprio settore“, ha affermato Daniel Johnston, ricercatore di sicurezza di Imperva.

La campagna dannosa 8220 ha già preso di mira i settori della sanità, delle telecomunicazioni e dei servizi finanziari negli Stati Uniti, in Sudafrica, Spagna, Colombia e Messico.

“Il gruppo fa affidamento su exploit semplici e disponibili pubblicamente per attaccare vulnerabilità note e raggiungere i propri interessi“, ha aggiunto Johnston. “Anche se i loro metodi sono considerati non sofisticati, evolvono costantemente le loro tattiche e tecniche per evitare di essere scoperti”.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore