Podatność w Oracle WebLogic wektorem ataku dla ransomware
Securityweek informuje, że co najmniej jeden operator ransomware dodał do swojego arsenału exploita wykorzystującego niedawno załataną lukę w Oracle WebLogic. Luka ta, sklasyfikowana jest jako CVE-2020-14882 i uznana za krytyczną, została usunięta w aktualizacji Critical Patch Update Oracle w październiku 2020 r.
Pierwsze ataki na lukę pojawiły się w ciągu pierwszego tygodnia po wydaniu łatek. Tydzień później Oracle ogłosił wydanie aktualizacji „pozapasmowej” dla innej krytycznej luki w zabezpieczeniach WebLogic, CVE-2020-14750 (wynik CVSS 9,8), związanej z CVE-2020-14882 i możliwej do wykorzystania zdalnie bez uwierzytelniania. CVE-2020-14750 został załatany wkrótce po tym, jak badacz bezpieczeństwa ujawnił, jak łatwo jest ominąć początkową łatkę dla CVE-2020-14882. Teraz Renato Marinho, badacz bezpieczeństwa z Morphus Labs i osoba obsługująca SANS ISC, ujawnia, że honeypoty WebLogic wykryły dużą liczbę skanowań pod kątem CVE-2020–14882, a niektóre z nich zostały wykonane przez operatorów kopalń kryptowalut. „Oprócz skanowań wyliczających jedynie podatne na ataki serwery, widzieliśmy niewielką liczbę skanów rozpoczynających się w piątek (30 października), próbujących zainstalować narzędzia do wydobywania kryptowalut” – wyjaśnia Marinho. Wyjaśnia również, że w weekend w jednej kampanii wymierzonej w tę lukę zaczęto wykorzystywać serię zaciemnionych skryptów PowerShell w celu pobrania ładunku Cobalt Strike.
Biorąc pod uwagę, że około dwie-trzecie wszystkich ataków ransomware zaobserwowanych w ostatnim kwartale wykorzystywało Cobalt Strike, nowy zestaw skanów prawdopodobnie został wykonany przez operatora ransomware. „Tak więc, zgodnie z oczekiwaniami, istnieje duże prawdopodobieństwo, że gang ransomware włączył exploit CVE-2020–14882 w swoim arsenale” – mówi Marinho. Użytkownikom zaleca się jak najszybsze zastosowanie dostępnych poprawek WebLogic w celu zapewnienia bezpieczeństwa środowisk. Dwie krytyczne luki w zabezpieczeniach mogą zostać wykorzystane w celu całkowitego przejęcia dotkniętych systemów.
Chińczycy się włamują! Podsumowanie Tianfu Cup
Podczas tegorocznej edycji Tianfu Cup – największego i najbardziej prestiżowego konkursu hakerskiego w Chinach, włamano się do wielu z najnowszych i najlepszych programów, wykorzystując nowe i nigdy wcześniej nie widziane exploity.
Trzecia edycja Pucharu Tianfu, która odbyła się w Chengdu w środkowych Chinach, zakończyła się 8 listopada. „W tegorocznym konkursie postawiono wiele dojrzałych i twardych celów” – powiedzieli organizatorzy. Udane exploity zostały potwierdzone przeciwko: iOS 14 działający na iPhonie 11 Pro, Samsung Galaxy S20, Windows 10 v2004 (edycja z kwietnia 2020 r.) Ubuntu, Chrom, Safari, Firefox, Adobe PDF Reader Docker (wersja dla społeczności), VMWare EXSi (hiperwizor), QEMU (emulator i wirtualizator), oprogramowaniu routerów TP-Link i ASUS.
W tegorocznej edycji wzięło udział 15 zespołów chińskich hakerów. Uczestnicy mieli trzy próby po pięć minut, aby włamać się do wybranego celu za pomocą oryginalnego exploita. Za każdy udany atak badacze otrzymywali nagrody pieniężne, które różniły się w zależności od wybranego celu i typu luki. Wszystkie exploity zostały zgłoszone dostawcom oprogramowania, zgodnie z regulaminem konkursu, wzorowanym na zasadach bardziej ugruntowanej konkurencji hakerskiej Pwn2Own, która odbywa się na zachodzie od końca 2000 roku. Łatki dla wszystkich błędów zademonstrowanych w ciągu weekendu zostaną dostarczone w najbliższych dniach i tygodniach, jak to zwykle bywa po każdym konkursie TianfuCup i Pwn2Own.
Podobnie jak w zeszłym roku, zwycięski zespół pochodził z chińskiego giganta technologicznego Qihoo 360. Nazwany „360 Enterprise Security and Government and (ESG) Vulnerability Research Institute”), zwycięzcy stanowili prawie dwie trzecie całej puli nagród, wracając do domu z 744 500 USD z łącznej kwoty 1 210 000 USD przyznanej w tym roku. Drugie i trzecie miejsce zajęło AntFinancial Lightyear Security Lab i badacz bezpieczeństwa Pang.
11 milionów dolarów okupu od producenta Resident Evil
Grupa cyberprzestępców, która włamała się do systemów japońskiego producenta gier wideo Capcom, żąda 11 milionów dolarów po ataku ransomware i kradzieży ogromnych ilości danych. Capcom, który prowadzi działalność w Stanach Zjednoczonych, Europie i Azji Wschodniej, jest najbardziej znany z gier takich jak Resident Evil, Street Fighter, Devil May Cry, Monster Hunter, Ace Attorney i Mega Man. Firma ujawniła 4 listopada w komunikacie prasowym, że kilka dni wcześniej wykryła nieautoryzowany dostęp do swoich sieci wewnętrznych. Capcom poinformował, że został zmuszony do wstrzymania niektórych operacji, a incydent wpłynął między innymi na jej serwery poczty elektronicznej i serwery plików.
Firma twierdzi, że nie znalazła dowodów na to, że informacje o klientach zostały naruszone. Jednak cyberprzestępcy, którzy włamali się do Capcom (grupa używa oprogramowania ransomware znanego jako Ragnar Locker) twierdzą, że ukradli ponad 1 TB plików, w tym pliki księgowe, wyciągi bankowe, sprawozdania finansowe, dokumenty podatkowe, własność intelektualną, zastrzeżone informacje biznesowe, dane osobowe pracowników i klientów, umowy korporacyjne, e-maile, prywatne rozmowy i różne inne rodzaje informacji.