08.11.2020 | RCE-уязвимость в Oracle WebLogic используется для установки Cobalt Strike |
Злоумышленники активно используют критическую уязвимость ( CVE-2020-14882 ) в платформах Oracle WebLogic для развертывания маяков Cobalt Strike, обеспечивающих постоянный удаленный доступ к скомпрометированным устройствам. Как сообщили исследователи безопасности из SANS ISC, преступники используют ряд Powershell-скриптов в кодировке base64 для загрузки и установки полезных нагрузок Cobalt Strike на уязвимые платформы Oracle WebLogic. Напомним, ранее Oracle выпустила внеплановое обновление для устранения критической уязвимости в ПО Oracle WebLogic. Уязвимость ( CVE-2020-14750 ) связана с другой проблемой в WebLogic (CVE-2020-14882), исправленной в рамках октябрьского обновления безопасности. Проблема (CVE-2020-14750) затрагивает версии Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 и может использоваться удаленно без взаимодействия с пользователем. По результатам поисковых запросов Spyse было обнаружено более 3 тыс. серверов Oracle WebLogic, доступных в Сети и потенциально уязвимых к CVE-2020-14882. Как сообщила команда специалистов Cisco Talos Incident Response (CTIR), 66% от всех атак с использованием программ-вымогателей в этом квартале были связаны с фреймворком Cobalt Strike. Предположительно, операторы вымогателей все больше полагаются на этот инструмент, отказываясь от обычных троянских программ. Cobalt Strike — легитимный инструмент для тестирования на проникновение, также использующийся злоумышленниками для выполнения вредоносных действий после эксплуатации и для развертывания так называемых маяков, которые позволяют им получить постоянный удаленный доступ. |
Проверить безопасность сайта