黑客发现利用Oracle WebLogic RCE漏洞传播勒索软件

正如人们所怀疑的那样，广泛使用的Oracle WebLogic服务器中最近披露的一个严重漏洞现在被发现正在被积极利用，以传播一种前所未有的勒索软件变体，研究人员称之为索迪诺基比"。

上周末，《黑客新闻》获悉，Oracle WebLogic Server中存在一个严重的反序列化远程代码执行漏洞，攻击者只需发送精心编制的HTTP请求—；不需要任何授权。

为了解决该漏洞（CVE-2019-2725），该漏洞影响了Oracle WebLogic软件的所有版本，严重性评分为9.8分（满分为10分），Oracle于4月26日发布了带外安全更新，就在该漏洞公开一天后，并观察到了几次未经处理的攻击。

Cisco Talos威胁研究团队的网络安全研究人员称，至少从4月25日起，一个未知的黑客团体一直在利用该漏洞，用一种新的勒索软件恶意软件感染易受攻击的服务器。
Sodinokibi是一种危险的勒索软件变体，旨在加密用户目录中的文件，然后从系统中删除卷影副本备份，以防止受害者在不支付赎金的情况下恢复数据。

部署勒索软件不需要交互

由于攻击者利用WebLogic服务器中的远程代码执行漏洞，与典型的勒索软件攻击不同，部署Sodinokibi勒索软件不需要用户交互。

研究人员在一篇博客文章中解释说：“历史上，大多数勒索软件都需要某种形式的用户交互，比如用户打开电子邮件附件，点击恶意链接，或者在设备上运行恶意软件”。

“在这种情况下，攻击者只是利用Oracle WebLogic漏洞，导致受影响的服务器从攻击者控制的IP地址下载勒索软件的副本”。

下载后，Sodinokibi勒索软件会对受害者的系统进行加密，并显示一张勒索单，索要高达2500美元的比特币。如果在规定的天数内未支付赎金，从两天到六天不等。

黑客也在安装勒索软件

研究人员还注意到，在受感染的系统上部署Sodinokibi大约8小时后，攻击者利用相同的WebLogic服务器漏洞安装了另一个名为GandCrab（v5.2）的勒索软件。

研究人员说：“我们觉得奇怪的是，攻击者会选择在同一目标上分发额外的、不同的勒索软件”。“Sodinokibi是一种新的勒索软件，也许攻击者觉得他们之前的尝试没有成功，仍然希望通过分发Gandcrab来赚钱”。

至少从4月17日起，攻击者就一直在利用Oracle WebLogic Server漏洞在野外传播加密货币矿工和其他类型的恶意软件。

WebLogic Server是一种流行的基于Java的多层企业应用服务器，通常被企业用来支持企业应用程序，这使得它经常成为攻击者试图执行恶意操作的目标，比如运行加密货币矿工和感染勒索软件。

使用Oracle WebLogic Server的组织应确保尽快将其安装更新为该软件的最新版本。