Старая уязвимость отдает компьютер в руки злоумышленников

Linux Oracle Oracle WebLogic Server Kinsing RCE Trend Micro
Уязвимость позволяет получить полный контроль над компьютером и превратить его в майнинг-ферму.

Старая уязвимость отдает компьютер в руки злоумышленников

ИБ-компания Trend Micro
обнаружила , что группировка Kinsing использует уязвимость в Корпорация Oracle – американская корпорация, которая специализируется на разработке и продаже серверного оборудования и программного обеспечения – в частности систем управления базами данных. Oracle Database – это продукт, который компания выпускает с момента своего основания и он является наиболее известным продуктом компании.
Oracle была основана в 1977 году. Центральный офис находится в штате Калифорния, США.
По объемам продаж, среди разработчиков программного обеспечения, компания Oracle занимает второе место после корпорации Microsoft. Oracle удалось увеличить свою долю рынка за счет внутреннего развития, а также благодаря ряду удачных поглощений других компаний.
«
data-html=»true» data-original-title=»Oracle»
>Oracle
WebLogic Server, чтобы отключить функции безопасности Linux — это Unix-подобная операционная система (ОС) с открытым исходным кодом, разработанная сообществом для компьютеров, серверов, мейнфреймов, мобильных устройств и встроенных устройств. Linux поддерживается почти на всех основных компьютерных платформах, включая x86, ARM и SPARC , что делает его одной из наиболее широко поддерживаемых операционных систем.»
data-html=»true» data-original-title=»Linux»
>Linux
, таких как Security-Enhanced Linux (SELinux) и другие службы.
Хакеры используют RCE — уязвимость
CVE-2020-14882
(оценка CVSS: 9,8), обнаруженную в 2020 году, чтобы захватить контроль над непропатченным Linux-сервером и доставить вредоносную полезную нагрузку.

Схема атаки Kinsing
Успешная эксплуатация уязвимости приводит к развертыванию сценария оболочки, который выполняет следующие действия:
удаление системного журнала «/var/log/syslog»;
отключение функций безопасности и агентов облачных служб от Alibaba и Tencent;
уничтожение существующих процессов майнинга и запуск собственного криптомайнера.
Затем сценарий загружает вредоносное ПО Kinsing с удаленного сервера и обеспечивает сохранение в системе с помощью задания «cron».
По словам исследователей Trend Micro, после внедрения Kinsing может выполнять множество вредоносных действий в системе, начиная от запуска вредоносного ПО до кражи конфиденциальных данных и полного контроля над скомпрометированной машиной.
Ранее в 2022 году Kinsing использовали уязвимость в Confluence Server и Confluence Data Center для
обхода аутентификации и полной компрометации системы .

SECURITYLAB.RU

Источник