## Ključne ranljivosti v kiber varnosti: Povezava med CVE-2020-14883 in CVE-2017-10271
Honeypot je v 24 urah zaznal 15 poskusov izkoriščanja, usmerjenih proti **CVE-2020-14883** in **CVE-2017-10271**, ki so vsi izvirali z enega samega IP naslova, povezanega z Aeza Group Ltd. Ta incident razkriva pomembne pomanjkljivosti v kiber varnosti, ki jih lahko izkoristijo napadalci.
## Kaj je ranljivost daljinske izvedbe kode?
Kritična daljinska izvedba kode ranljivost je bila odkrita v **Oracle WebLogic Serverju** zaradi hibe v WLS-WSAT komponenti. Napadalec lahko izkoristi to ranljivost tako, da pošlje prilagojeno XML zahtevo. To lahko privede do obhoda avtentikacije in omogoči izvedbo poljubne kode, kar lahko povzroči resne posledice kot so kompromitacije prizadetih sistemov.
### Kako poteka izkoriščanje ranljivosti?
Napadalec je uporabil `lwp-download` binarno datoteko za prenos shell skripte z imenom “2.gif”. Ta datoteka je bila shranjena v /tmp imenik in izvedena za začetno fazo napada. To kaže na unikatno taktiko, ki se razlikuje od običajnih metod, kot sta `wget` ali `curl`.
#### Napadi na Linux in Windows
Administracijska konzola Oracle WebLogic Serverja je ranljiva za neavtenticirano RCE (CVE-2020-14883). Napadalci to izkoriščajo s pošiljanjem zlonamernih HTTP zahtev, ki izvajajo ukaze na **Linux** ali **Windows** strežnikih.
– **Linux napadi** vključujejo prenos in izvedbo C & Python datotek.
– **Windows napadi** uporabljajo PowerShell skripte, ki onemogočajo antivirusno zaščito.
### Možne posledice napadov
Windows skripta najprej onemogoči zaznavo zaščite. Nato dešifrira in izvrši base64-kodiran niz, ki na koncu zažene C# binarno datoteko, ki prenese in izvede kriptominer. Takšna ranljivost predstavlja resen izziv za organizacije.
#### Zavezanost napadalcev
Loader CCleaner, .NET-osnova program, prenese datoteko iz določenega URL-ja. Dešifrira jo z uporabo 3DES za pridobitev .NET DLL. Nato naloži razred iz DLL in prenese ter izvrši šifriran program z drugega URL-ja, kar spet vodi do zagon kriptominerja.
### Prenosi in lateralno gibanje
Navodila za obrambo pred temi napadi vključujejo sledenje in analizo:
– **Hadooken**: Skripta onemogoči zaščito oblaka in poskuša lateralno gibanje prek SSH brute force pregledovanja.
– **K4Spreader**: Go-osnova koda, ki prav tako onemogoča zaščito oblaka in razporedi dodatno zlonamerno programsko opremo.
## Grožnje povezane z DDoS in kriptominerskimi napadi
**Tsunami** in **PwnRig** sta še dve zlonamerni programski opremi, ki sta povezani s kriminalnimi aktivnostmi. Tsunami, Linux podlaga DDoS bot, uporablja IRC C2 strežnike za nadzor in ukazovanje. PwnRig rudari Monero preko zasebnih proxy rudarskih bazenov.
### Kako oblikovati učinkovito obrambo?
Zaradi povezanosti teh groženj z istim vsiljivim nizom, je ključno implementirati strategije kiber varnosti. Te vključujejo:
– Redno posodabljanje programske opreme.
– Namestitev varnostnih popravkov.
– Natančno spremljanje občutljivih sistemov.
Kampanji Hadooken in K4Spreader sta verjetno povezani, saj prikazujeta podobne taktike in cilje.
#### Geografska porazdelitev žrtev
Analiza napadov kaže, da ima večina žrtev sedež v Aziji, z opazno koncentracijo v Južni Ameriki. To morda kaže na vpletenost operaterjev iz Južne Amerike.
## Zaključek
Zaščita pred ranljivostmi kot so CVE-2020-14883 in CVE-2017-10271 zahteva proaktiven pristop k kiber varnosti. Razumevanje taktik, ki jih napadalci uporabljajo, je ključno za zaščito omrežij in sistemov podjetij.
### Preberite tudi
– [Nasprotnik domnevno trdi, da je uhajanje 60Gb podatkov iz FIFOCAPITAL](https://cyberpress.org/claiming-leak-of-60gb-data-fifocapital/)
– [8220 Hekerska Skupina Doda Močna Nova Orodja: Hadooken & K4Spreader](https://cyberpress.org/8220-hacker-group-adds-powerful-new-tools/)
Z razumevanjem in pripravljenostjo se lahko učinkovito borimo proti tem napadom. Izkoriščanje ranljivosti v kiber varnosti je stalna grožnja, ki zahteva stalno pozornost in okrepitev varnosti.