Posté le octobre 30, 2020 à 11:07
SELON LES CHERCHEURS D’ORACLE, LES HACKERS EXPLOITENT LES FAILLES DE SES SERVEURS WEBLOGIC
Les chercheurs en sécurité de Cisco Talos ont récemment découvert que les serveurs WebLogic d’Oracle présentent une vulnérabilité « zero-day » qui les rend vulnérables aux attaques par ransomware. En raison de cette vulnérabilité, les hackers en profitent maintenant pour installer une nouvelle souche de logiciel de rançon connue sous le nom de Sodinokibi, ainsi que d’autres versions du ransomware GrandCrab.
Cependant, le plus intéressant dans cette découverte récente est le fait que les serveurs web d’Oracle ont une portée limitée pour les interceptions car ils se situent souvent entre les applications frontales et les applications dorsales.
Les serveurs font office d’outils middleware en redirigeant le trafic web vers les applications frontales depuis les applications dorsales.
Les chercheurs ont noté que la vulnérabilité est le CVE-2020-14882 trouvé dans le composant console du serveur Weblogic, qui a été classé 9,8 sur 10 sur l’échelle CVSS.
Ils ont également averti les organisations de mettre à jour leurs serveurs Oracle WebLogic dès que possible afin d’éviter qu’ils ne soient compromis.
Oracle indique également que les attaquants n’utilisent pas une approche très complexe pour attaquer l’application, car celle-ci n’a besoin d’aucune interaction avec l’utilisateur ni de privilèges pour lancer l’attaque. Les hackers disposant d’un accès HTTP sont capables de lancer une attaque sur les applications, peut-on lire dans l’annonce.
Le serveur Oracle Weblogic est devenu largement connu pour son utilisation dans la création et le lancement d’applications d’entreprise Java EE.
Lors de la mise à jour critique des correctifs d’Oracle en octobre, la vulnérabilité a été corrigée, avec 402 correctifs apportés sur une famille de produits. Bien que beaucoup aient mis à jour leurs applications, Oracle signale que certains utilisateurs n’ont toujours pas effectué de mise à jour, ce qui rend ces personnes vulnérables aux exploits des attaquants.
Le directeur de la recherche de l’Institut technologique de la SANS a révélé que, bien que la vulnérabilité ait été corrigée le 21 octobre et basé sur des observations honeypot, certains éléments malveillants ciblent activement la faille.
« À ce stade, nous voyons les scanners ralentir un peu, mais ils ont atteint la saturation », a-t-il déclaré dans un post hier. Il a ajouté que les utilisateurs qui n’ont pas encore appliqué ce correctif devraient supposer que leur serveur a subi une violation.
M. Ullrich a également déclaré qu’un billet de blog publié par Jang au Vietnam aurait pu inciter à ces exploits. Le post a donné des détails sur la façon de réaliser l’exécution de code à distance en utilisant une seule requête GET en tirant parti de la vulnérabilité.
M. Ullrich a également cité quatre adresses IP utilisées par des hackers pour exploiter les honeypots.
Les chercheurs en sécurité ont conseillé aux utilisateurs de mettre à jour leurs serveurs Oracle WebLogic en visitant la page de sécurité Oracle fournie.
M. Ullrich et d’autres personnes invitent les utilisateurs du serveur Oracle WebLogic à mettre à jour leurs systèmes dès que possible.
Les utilisateurs sont invités à consulter le document relatif à la disponibilité des correctifs pour WebLogic et d’autres produits Oracle vulnérables, en cliquant ici.
Les chercheurs ont également souligné que la campagne de piratage ressemble beaucoup à la campagne qui a ciblé les sites web de Drupal et Magento l’année dernière.
Ils ont ajouté que ce type d’attaque ne reste pas longtemps, car les serveurs peuvent disposer de captures de paquets, de journaux et de sauvegardes qui permettent aux équipes de cybersécurité de les analyser. Cela limite le niveau de gravité de l’attaque, affirment les hackers.
Les hackers de Cisco pensent que le logiciel Sodinokibi a été récemment développé par des hackers, mais la gravité de son attaque n’est pas connue. En conséquence, les hackers ont distribué le logiciel GanCrab pour augmenter la gravité de la menace.
Les serveurs Oracle WebLogic attaqués plus d’une fois
Ce n’est pas la première fois que les serveurs Oracle WebLogic sont exploités par des hackers. En mai de l’année dernière, les chercheurs d’Oracle ont déclaré qu’un serveur WebLogic récemment vulnérable était visé, car des hackers ont tenté d’exploiter la vulnérabilité CVE-2019-2725.
Au début du mois de mai de cette année, la société a demandé à ses clients d’appliquer rapidement une mise à jour d’une vulnérabilité sur son serveur WebLogic. L’entreprise a révélé qu’elle avait reçu différentes notifications et preuves montrant que ses serveurs web sont sujets à des tentatives de piratage par certains groupes de hackers utilisant du rançongiciel.
Le rançongiciel « Sodinokibi » a été utilisé une nouvelle fois en juin de cette année. Mais l’équipe d’Oracle a continuellement averti les utilisateurs d’appliquer régulièrement les mises à jour de sa page de sécurité pour éviter d’être victime d’attaques de ransomware sur ses serveurs.