Expertos en seguridad de aplicaciones web de la firma Trend Micro han detectado una campaña de hacking contra las implementaciones de Oracle WebLogic Server para instalar software malicioso de minado de criptomoneda. Los hackers explotan una vulnerabilidad para instalar el minero esquivando la detección de los administradores.
La Base de datos Nacional de Vulnerabilidades (NVD) publicó el pasado mes de abril la alerta de seguridad referente a un error severo en el componente WebLogic Server de Oracle Fusion Middleware, identificado como CVE-2019-2725. De ser explotada, esta falla permitiría a los actores de amenazas acceder a la red a través de HTTP para comprometer el servidor.
Los reportes más recientes indican que la falla es mucho más grave de lo que se pensaba, pues ya se ha confirmado su explotación en escenarios reales para instalar software de minería para extraer la criptomoneda Monero en los sistemas atacados, reportan los expertos en seguridad de aplicaciones web.
Los atacantes explotan la vulnerabilidad con un malware que obliga al sistema a descargar un archivo de certificado para guardarlo en una ubicación específica (los especialistas detectaron este archivo como Coinminer.Win32.MALXMR.TIAOODCJ.component). En apariencia este es un certificado de software, pero realmente el minero está incrustado en el archivo, este certificado se encarga de descargar y ejecutar los archivos relacionados con la carga útil del software de minado XMR.
Los expertos en seguridad de aplicaciones web mencionaron que aún no se sabe con exactitud cuántos sistemas se han visto afectados por la explotación de esta vulnerabilidad, también se desconoce la cantidad de implementaciones de Oracle que siguen minando Monero para los atacantes sin saberlo.
Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS) esta campaña maliciosa ha demostrado lo sencillo que es para los hackers usar archivos de certificados para inyectar software malintencionado evadiendo cualquier medida de protección.
Para empeorar un poco la situación, expertos prevén que la revelación de esta vulnerabilidad sirva como catalizador de múltiples campañas de cryptojacking usando certificados aparentemente inofensivos, situación que no sólo afectaría a los administradores de implementaciones de Oracle, sino también a otros sistemas de administración de base de datos.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
