Un reporte publicado recientemente por el investigador de Morphus Labs, Renato Marinho, describe un exploit en los servidores de PeopleSoft y Weblogic para minar criptomonedas gracias a una debilidad en Oracle, sistema al que pertenecen dichos servidores.
El investigador reveló hace pocos días un detallado estudio sobre una vulnerabilidad crítica de Oracle que le permitiría a un atacante remoto ejecutar comandos arbitrarios en un equipo con los mismos privilegios de un usuario del servidor WebLogic o PeopleSoft.
A pesar de haberse creado un parche de seguridad para evitar dicha debilidad en octubre de 2017, se conoce que este problema afecta a las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0 y 10.3.3.0 de Oracle que aún no han sido actualizadas. Potencialmente, esto podría hacer vulnerable a robos cualquier tipo de información almacenada en el dispositivo, aunque los estudios revelaron que, sorprendentemente, sólo se involucran actividades de minería de criptomonedas.
En este caso, el objetivo de la campaña es minar criptomonedas, pero, por supuesto, la vulnerabilidad puede usarse con otros objetivos. Chequee su ambiente por esta vulnerabilidad y, si es necesario, aplique los parches lo antes posible. También se recomienda chequear si un ambiente vulnerable puede estar ya comprometido. Analice cuidadosamente los procesos con alto y constante consumo del CPU.
Renato Marinho
Investigador
De acuerdo otra investigación, pero esta vez bajo la autoría del Ph.D. Johannes B. Ullrich para el SANS Technology Institute, se lograron recuperar datos del software de minería de criptomonedas Xmrig asociados a este caso. Con esto, se descubrió que en la dirección destino programada para recibir las ganancias se encuentran 611 tokens del criptoactivo Monero, equivalentes a 229.369,4 dólares americanos. Marinho también encontró una operación similar, pero utilizando la criptomoneda AEON, por lo que con un poder de minería similar apenas lograron obtener el equivalente a 6.000 USD en su cuenta.
La vulnerabilidad explotada afecta a WebLogic, pero pudimos ver la explotación de algunos servidores de PeopleSoft. Esta, a ser una aplicación muy compleja, es difícil de parchar y mantener. El código del exploit registrará nuevas víctimas con el servidor de los atacantes, y logramos tener acceso a uno de los “logs” dejados por el atacante. Este comenzó el 4 de enero a las 8 AM ET. Aún pueden verse conexiones (al 9 de enero 8AM ET). El último log rescatado incluye 122 direcciones IP.
Renato Marinho
Investigador
Los ataques utilizando este método se vienen dando desde el mes de diciembre de 2017. Oracle reveló poco después una serie de consejos de seguridad y parches de actualización críticos para proteger a los equipos utilizando sus servicios.
Monero parece ser junto a Bitcoin una de las criptomonedas favoritas de los mineros web y malware que utilizan los CPU de equipos inteligentes para obtener recompensas; probablemente por su naturaleza de mayor anonimato comparada con otros criptoactivos. Kaspersky Labs, la empresa rusa especializada en ciberseguridad, descubrió un nuevo malware troyano que secretamente realiza minería de Monero desde teléfonos Android. Este podría destruir físicamente el teléfono de no ser detectado a tiempo; y es sólo uno de los numerosos casos de explotación de equipos por parte de terceros, los cuales pueden propagarse incluso a través de Facebook.