Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Oracle WebLogic Server sotto una ondata di attacchi informatici

Oracle WebLogic Server sotto una ondata di attacchi informatici

20 Dicembre 2023 07:45

I ricercatori di Imperva hanno rilevato l’attività del gruppo 8220, che sfrutta una vulnerabilità di elevata gravità in Oracle WebLogic Server per distribuire il suo software dannoso.

Il problema in questione è il CVE-2020-14883 ( punteggio CVSS 7.2), una vulnerabilità legata all’esecuzione di codice in modalità remota ( RCE ) che può essere utilizzata da aggressori autenticati per prendere il controllo dei server vulnerabili.

Questa vulnerabilità consente agli aggressori autenticati di eseguire codice tramite una catena di exploit ed è spesso associata a CVE-2020-14882 (una vulnerabilità di bypass dell’autenticazione che colpisce anche Oracle WebLogic Server) o all’uso di credenziali trapelate, rubate o deboli“, ha affermato Imperva nel suo rapporto.

Advertising

Il gruppo 8220 ha già esperienza nell’utilizzo di vulnerabilità di sicurezza note per distribuire malware a scopo di cryptojacking. Nel maggio di quest’anno, hanno utilizzato un’altra vulnerabilità nei server Oracle WebLogic (CVE-2017-3506, punteggio CVSS 7.4) per aggiungere dispositivi a una botnet per il mining di criptovaluta.

Le recenti catene di attacchi documentate da Imperva includono l’uso di CVE-2020-14883 per creare file XML appositamente predisposti e quindi eseguire il codice per il furto di dati e il mining di criptovaluta come Agent Tesla, rhajk e nasqa.

Il gruppo sembra operare ad hoc, senza una chiara tendenza nelle scelte del proprio paese o del proprio settore“, ha affermato Daniel Johnston, ricercatore di sicurezza di Imperva.

La campagna dannosa 8220 ha già preso di mira i settori della sanità, delle telecomunicazioni e dei servizi finanziari negli Stati Uniti, in Sudafrica, Spagna, Colombia e Messico.

Il gruppo fa affidamento su exploit semplici e disponibili pubblicamente per attaccare vulnerabilità note e raggiungere i propri interessi“, ha aggiunto Johnston. “Anche se i loro metodi sono considerati non sofisticati, evolvono costantemente le loro tattiche e tecniche per evitare di essere scoperti”.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Sandro Sana 300x300
CISO, Head of Cybersecurity del gruppo Eurosystem SpA. Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity. Autore del libro "IL FUTURO PROSSIMO"
Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber
Visita il sito web dell'autore