Oracle WebLogic Server sotto una ondata di attacchi informatici

I ricercatori di Imperva hanno rilevato l’attività del gruppo 8220, che sfrutta una vulnerabilità di elevata gravità in Oracle WebLogic Server per distribuire il suo software dannoso.

Il problema in questione è il CVE-2020-14883 ( punteggio CVSS 7.2), una vulnerabilità legata all’esecuzione di codice in modalità remota ( RCE ) che può essere utilizzata da aggressori autenticati per prendere il controllo dei server vulnerabili.

“Questa vulnerabilità consente agli aggressori autenticati di eseguire codice tramite una catena di exploit ed è spesso associata a CVE-2020-14882 (una vulnerabilità di bypass dell’autenticazione che colpisce anche Oracle WebLogic Server) o all’uso di credenziali trapelate, rubate o deboli“, ha affermato Imperva nel suo rapporto.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il gruppo 8220 ha già esperienza nell’utilizzo di vulnerabilità di sicurezza note per distribuire malware a scopo di cryptojacking. Nel maggio di quest’anno, hanno utilizzato un’altra vulnerabilità nei server Oracle WebLogic (CVE-2017-3506, punteggio CVSS 7.4) per aggiungere dispositivi a una botnet per il mining di criptovaluta.

Le recenti catene di attacchi documentate da Imperva includono l’uso di CVE-2020-14883 per creare file XML appositamente predisposti e quindi eseguire il codice per il furto di dati e il mining di criptovaluta come Agent Tesla, rhajk e nasqa.

“Il gruppo sembra operare ad hoc, senza una chiara tendenza nelle scelte del proprio paese o del proprio settore“, ha affermato Daniel Johnston, ricercatore di sicurezza di Imperva.

La campagna dannosa 8220 ha già preso di mira i settori della sanità, delle telecomunicazioni e dei servizi finanziari negli Stati Uniti, in Sudafrica, Spagna, Colombia e Messico.

“Il gruppo fa affidamento su exploit semplici e disponibili pubblicamente per attaccare vulnerabilità note e raggiungere i propri interessi“, ha aggiunto Johnston. “Anche se i loro metodi sono considerati non sofisticati, evolvono costantemente le loro tattiche e tecniche per evitare di essere scoperti”.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli