خانه » سوء استفاده از آسیب پذیری سرور WebLogic اوراکل توسط گروه ۸۲۲۰

سوء استفاده از آسیب پذیری سرور WebLogic اوراکل توسط گروه ۸۲۲۰

توسط Vulnerbyte
209 بازدید
گروه ۸۲۲۰ - آسیب پذیری سرور WebLogic اوراکل

عوامل تهدید مرتبط با گروه ۸۲۲۰ از یک آسیب پذیری با شدت بالا در سرور WebLogic اوراکل به منظور انتشار بدافزار سوء استفاده کردند. این نقص امنیتی که با شناسه CVE-2020-14883 (امتیاز CVSS: 7.2) دنبال می‌شود، یک باگ اجرای کد از راه دور (RCE) است که می‌تواند توسط مهاجمان احراز هویت شده برای کنترل سرورهای حساس مورد سوء استفاده قرار گیرد.

این آسیب پذیری در واقع به مهاجمان احراز هویت شده از راه دور اجازه می‌دهد تا با استفاده از یک مجموعه ابزار، کد را اجرا کنند و معمولاً این آسیب پذیری توسط CVE-2020-14882 (یک آسیب پذیری دور زدن احراز هویت که بر سرور Weblogic اوراکل نیز تأثیر می‌گذارد) یا استفاده از گواهی‌های اعتبار ضعیف، فاش و یا سرقت شده به یکدیگر مورد استفاده قرار می‌گیرد.

گروه ۸۲۲۰، سابقه سوء استفاده از آسیب پذیری‌های امنیتی شناخته شده برای توزیع بدافزار cryptojacking را در کارنامه خود دارد. در اوایل ماه مِی ۲۰۲۳، این گروه در حال استفاده از نقص دیگری در سرورهای WebLogic اوراکل (CVE-2017-3506، امتیاز CVSS: 7.4) مشاهده شد که دستگاه‌ها را به یک بات‌ نت استخراج ارز دیجیتال متصل می‌کرد.

زنجیره‌های حمله اخیرا مستند شده توسط Imperva، مستلزم سوء استفاده از CVE-2020-14883 برای ساخت فایل‌های XML و در نهایت اجرای کدهایی هستند که مسئول استقرار بدافزارهای رباینده و استخراج سکه مانند Agent Tesla، rhajk و nasqa می‌باشند.

زنجیره نفوذ با استفاده از آسیب پذیری CVE-2020-14883 به شرح زیر است:

گروه ۸۲۲۰ - آسیب پذیری سرور WebLogic اوراکل

مجموعه آسیب پذیری‌هایی که اخیرا توسط گروه ۸۲۲۰ مورد استفاده قرار گرفته‌اند، عبارتند از:

  • CVE-2017-3506 – آسیب پذیری اجرای کد از راه دور در سرور WebLogic اوراکل
  • CVE-2019-2725 – غیرسریال سازی سرور WebLogic اوراکل احراز هویت شده
  • CVE-2020-14883 – آسیب پذیری اجرای کد از راه دور سرور WebLogicاوراکل احراز هویت شده
  • CVE-2021-26084 – آسیب پذیری اجرای کد از راه دور OGNL Injection سرور Atlassian Confluence
  • CVE-2021-44228 – آسیب پذیری اجرای کد از راه دور JNDI در Apache Log4j
  • CVE-2022-26134 – آسیب پذیری اجرای کد از راه دور سرور Atlassian Confluence

به نظر می‌رسد این گروه هنگام انتخاب اهداف خود بدون هیچ روند مشخصی در تعیین کشور یا صنعت مورد نظر پیش می‌رود. اهداف این کمپین معمولا شامل بخش‌های مراقبت های بهداشتی، مخابرات و خدمات مالی در ایالات متحده، آفریقای جنوبی، اسپانیا، کلمبیا و مکزیک است. این گروه به منظور هدف قرار دادن آسیب‌پذیری‌های شناخته‌ شده و اکسپلویت آنها برای دستیابی به اهداف خود، بر بهره‌برداری‌های ساده و در دسترس عموم متکی است و به طور مداوم تاکتیک‌ها، تکنیک‌ها و رویه‌های خود را به منظور دور زدن مکانیزم‌های امنیتی و جلوگیری از شناسایی توسعه می‌دهند.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید