Oracle WebLogic Server es un servidor de aplicaciones diseñado principalmente para desarrollar, implementar y administrar aplicaciones empresariales basadas en los estándares Java EE y Jakarta EE.
Sirve como un componente clave de Oracle Fusion Middleware y proporciona un entorno confiable y escalable.
Los investigadores de Aqua Nautilus descubrieron recientemente que un nuevo malware de Linux llamado “Hadooken” está explotando activamente los servidores Oracle Weblogic.
Malware de Linux que explota los servidores de Weblogic
El malware Haooken se dirige a los servidores Oracle WebLogic explotando credenciales de administrador débiles para el acceso inicial.
Expanda los dos componentes principales. Los discutiremos todos a continuación.
Cryptominer (MD5: 9bea7389b633c331e706995ed4b3999c) Tsunami Malware (MD5: 8eef5aa6fa9859c71b55c1039f02d2e6)
Este ataque aprovecha los scripts de Shell ('c') y Python ('y') para descargar y ejecutar cargas útiles, prefiriendo directorios no persistentes como /tmp.
Cumplimiento de la decodificación: lo que los CISO deben saber: únase a nuestro seminario web gratuito
Los criptomineros se eliminan como “/usr/bin/crondr”, “/usr/bin/bprofr”, “/mnt/-java”, mientras que Tsunami usa nombres de archivos aleatorios en /tmp.
La persistencia se mantiene a través de trabajos cron creados en /etc/cron./ con diferentes frecuencias.
Flujo de ataque (Fuente: Aquasec)
La navegación lateral busca datos SSH en varios directorios. El malware emplea técnicas de evasión como codificación base64, borrado de registros y enmascaramiento de procesos.
Las direcciones IP asociadas 89.185.85.102 y 185.174.136.204 están vinculadas a una posible distribución de ransomware (Mallox MD5: 4a12098c3799ce17d6d59df86ed1a5b6, RHOMBUS, NoEscape).
El script de PowerShell asociado 'b.ps1' (MD5: c1897ea9457343bd8e73f98a1d85a38f) distribuye el ransomware Mallox y demuestra una estrategia de ataque multiplataforma.
Además de esto, Shodan reveló más de 230.000 servidores WebLogic con acceso a Internet con cientos de consolas de administración expuestas que podrían ser explotadas.
A continuación, presentamos el marco MITRE ATT&CK.
Marco MITRE ATT&CK (Fuente – Aquasec)
alivio
Todas las mitigaciones se enumeran a continuación: –
Utilice siempre una herramienta de escaneo de IaC para detectar configuraciones incorrectas antes de la implementación. Escanee su configuración en la nube y detecte riesgos utilizando herramientas CSPM. Escanee su clúster de Kubernetes en busca de configuraciones incorrectas. Proteja imágenes de contenedores y archivos Docker. Supervise su entorno de ejecución.
COI
COI (Fuente: Aquasec)
Simule escenarios de ciberataques con una plataforma de ciberseguridad todo en uno: vea el seminario web gratuito
