بهره‌برداری بات‌نت Muhstik از آسیب‌پذیری WebLogic اخیر اوراکل

نوع جدید بات‌نت Muhstik که اخیراً مشاهده شده است از آسیب‌پذیری اخیر سرور WebLogic اوراکل برای حملات منع سرویس توزیع‌شده و استخراج رمزارز بهره‌برداری می‌کند. این آسیب‌پذیری بحرانی که با شناسه‌ی CVE-2019-2725 ردیابی می‌شود و به‌تازگی وصله شده است، امکان اجرای دستورات از راه دور را فراهم می‌کند و قبل از انتشار وصله در حملات از آن بهره‌برداری شده است.

مدت کمی پس از افشای عمومی این آسیب‌پذیری و انتشار کد اثبات مفهومی، سازمان‌های امنیتی مشاهده کردند که حملات جدید آن را هدف قرار می‌دهند. به‌گفته‌ی Palo Alto Networks نسخه‌ی جدید بات‌نت  Muhstik در طول آخرهفته ظهور کرد که تلاش می‌کند تا از همان آسیب‌پذیری WebLogic برای آلوده کردن سیستم‌ها استفاده کند. Muhstik سرورهای لینوکس و دستگاه‌های اینترنت اشیاء را هدف قرار می‌دهد تا از آن‌ها برای استخراج رمزارز یا حملات منع سرویس توزیع‌شده سوء‌استفاده کند.

بات‌نت مشاهده‌شده از چند بهره‌برداری مختلف برای اهداف آلوده‌سازی استفاده می‌کند که برخی از آن‌ها آسیب‌پذیری‌های وردپرس و دروپال را هدف قرار می‌دهند. همچنین تلاش می‌کند تا از یک آسیب‌پذیری WebLogic قدیمی با شناسه‌ی CVE-2017-10271 بهره‌برداری کند. این حملات که آسیب‌پذیری WebLogic جدید با شناسه‌ی CVE-2019-2725 را هدف قرار می‌دهد نشان‌دهنده‌ی یک بار داده‌ی بهره‌برداری است که شامل دستور شِل برای بارگیری یک فایل پی‌اِچ‌پی از آدرس آی‌پی ۱۶۵٫۲۲۷٫۷۸٫۱۵۹ است.

پیش از این، این بات‌نت از آدرس آی‌پی ۱۶۵٫۲۲۷٫۷۸٫۱۵۹ به‌عنوان یک سرور گزارش‌دهی استفاده می‌کرد تا اطلاعات بات‌ها را جمع‌آوری کند. بات‌نت Muhstik درحال‌حاضر از آسیب‌پذیری اجرای کد از راه دور wls9-async مربوط به WebLogic اوراکل استفاده می‌کند و به احتمال زیاد سایر خانواده‌های بدافزاری نیز در آینده از آن بهره‌برداری خواهند کرد.

منبع

Related posts

Leave a Comment

18 − ده =