Beheer

Security
Nederland doelwit

Oracle-servers gekaapt voor cryptomining

Webapplicatieservers met Oracle-software worden wereldwijd gehackt, om cryptovaluta te minen. De exploit is vers en Nederland wordt geraakt.

© Morphus Labs
11 januari 2018

Webapplicatieservers met Oracle-software worden wereldwijd gehackt, om cryptovaluta te minen. De exploit is vers en Nederland wordt geraakt.

Het SANS Technology Institute waarschuwt voor lopende hackaanvallen door diverse daders op Oracle-software. PeopleSoft- en WebLogic-servers worden gekaapt en ingezet om cryptovaluta te minen voor de hackers.

De ingang is een verse kwetsbaarheid in de WebLogic-webserver, die ook dienst kan doen voor PeopleSoft-installaties. Leverancier Oracle heeft in december patches uitgebracht voor grote kwetsbaarheden in zijn PeopleSoft-applicatieserver. Installatie van deze kritieke lapmiddelen blijkt achter te lopen op de onthulling en inzet van exploitcode voor de beveiligingsgaten.

Nederland op de kaart

Het SANS Technology Institute meldt in verschillende blogposts dat meerdere aanvallers gebruik maken van de openstaande kwetsbaarheden. De slachtoffers zijn wereldwijd verspreid, waarbij ook doelwitten in Nederland zijn gedetecteerd. Ons land kent een hoge concentratie, blijkt uit een wereldkaart gemaakt door security-onderzoeker Renato Marinho van Morphus Labs. Hij heeft een eerste blog gepubliceerd bij SANS over deze securitybedreiging.

wereldkaart cryptomining hacks

“Dit is geen gerichte aanval”, schrijft hoofdonderzoeker Johannes Ullrich van SANS in zijn vervolgblog over de internationale hackaanvallen. Kant-en-klare exploitcode voor de gaten in Oracle’s software is namelijk eind december openlijk vrijgegeven door een Chinese security-onderzoeker. “Toen de exploit eenmaal was gepubliceerd, kon iedereen met beperkte scripting-skills meedoen aan het hacken van WebLogic-servers.”

Kinderspel

Het uitvoeren van deze aanval op Oracle’s business-applicaties is behoorlijk eenvoudig, legt Marinho uit in zijn analyse. De gebruikte kwetsbaarheden maken het mogelijk om op afstand kwaadaardige code uit te voeren. Vooralsnog wordt deze vergaande hackmogelijkheid niet gebruikt voor diefstal of digitale gijzeling van kostbare bedrijfsgegevens, schrijft technieuwssite Ars Technica.

De diverse aanvallers gaan voor een andere vorm van geld verdienen. De gehackte applicatieservers worden namelijk ingezet voor het minen van virtuele valuta. SANS-expert Ullrich schrijft dat een aanvaller in een specifiek geval tenminste 611 Monero-munten heeft ‘ontgind’. Deze hoeveelheid cryptovaluta komt neer op 226.070 dollar. Een teken van infectie is dan ook een hoog processorgebruik van de applicatieserversoftware.

Cloudkracht, voor kwaad

De door Marinho in kaart gebrachte aanval heeft een legitieme software voor Monero-mining geïnstalleerd op 722 kwetsbare WebLogic- en PeopleSoft-servers. Een groot deel daarvan draait op publieke clouds, meldt Ullrich. "Dit is niet verwonderlijk aangezien veel organisaties hun meest kritieke data naar de cloud brengen", schrijft de onderzoeker.

Meer dan 140 van de gevonden cloudsystemen draait in de AWS-omgeving (Amazon Web Services) van webwinkel en cloudgigant Amazon. Daarnaast zijn diverse andere hosting- en clouddiensten getroffen, waaronder die van Digital Ocean, Google en Microsoft. Ironisch genoeg bevindt zich daaronder ook de publieke cloud van softwareleverancier Oracle zelf. Het gaat hierbij om zo'n 30 gekaapte, cryptominende servers.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.