Мир Oracle в Украине

Действующая в целях обогащения киберпреступная группировка Rocke атакует уязвимые установки Apache ActiveMQ, Oracle WebLogic и Redis с помощью нового вредоносного ПО для криптоджекинга под названием Pro-Ocean. Переход на использование Pro-Ocean является большим шагом вперед для Rocke, так как вредонос способен распространяться автоматически, подобно червю, пытаясь проэксплуатировать уязвимости на всех попадающихся на его пути машинах.

Хотя в арсенале группировки появилось новое вредоносное ПО, ее тактика осталась неизменной – хакеры по-прежнему атакуют облачные приложения и эксплуатируют известные уязвимости для захвата контроля над Oracle WebLogic (CVE-2017-10271) и Apache ActiveMQ (CVE-2016-3088). Кроме того, их интересуют уязвимые установки Redis.

Как сообщают специалисты Palo Alto Networks, Pro-Ocean оснащен «новыми улучшенными функциями руткита и червя», позволяющими вредоносу скрывать свою активность и распространяться в сети через необновленное ПО.

Для сокрытия вредоносной активности Pro-Ocean использует LD_PRELOAD – «родную» функцию Linux, заставляющую двоичный код приоритизировать загрузку определенных библиотек. Данный метод не является новым и используется разными вредоносными программами. Однако в случае с Pro-Ocean разработчики расширили возможности руткита, скрыв вредоносную активность с помощью публично доступного кода.

В качестве одного из примеров исследователи привели функцию ‘open’ в библиотеке ‘libc’ для открытия файла и возвращения его дескриптора. Вредоносный код способен определять, нужно ли скрыть файл, прежде чем вызывать функцию ‘open’. Определив, что файл нужно скрыть, вредоносная функция возвращает сообщение об ошибке «Файл или директория отсутствуют», как если бы запрашиваемый файл не существовал вовсе.

Как уже упоминалось выше, Pro-Ocean способен распространяться автоматически подобно червю. С помощью сервиса ident.me Python-скрипт определяет публичный IP-адрес зараженной машины и пытается инфицировать все системы в одной с ней 16-битной подсети. Попытки заражения осуществляются наугад, без какого-либо отбора.

В случае успеха Python-скрипт доставляет полезную нагрузку, загружающую скрипт для инсталляции Pro-Ocean с удаленного HTTP-сервера. Этот скрипт, написанный на Bash и обфусцированный, играет важную роль в проводимых Rocke операциях криптоджекинга. Он не только устанавливает Pro-Ocean, но также отключает другие запущенные на системе вредоносные программы и майнеры. Кроме того, скрипт предоставляет Pro-Ocean полный доступ, удаляя iptables и деинсталлируя агенты мониторинга, которые могут засечь аномальную активность.

Подробнее: https://www.securitylab.ru/news/516091.php

На прошлой неделе специалисты израильской ИБ-компании JSOF сообщили о ряде уязвимостей в популярном ПО Dnsmasq, позволяющих осуществлять атаку «отравление кеша DNS» (DNS cache poisoning) и удаленно выполнять произвольный код. Уязвимости, получившие общее название DNSpooq, затрагивают продукты более 40 IT-поставщиков, включая Cisco, Comcast, Google, Netgear, Red Hat и Ubiquiti, а также основные дистрибутивы Linux.

Описанные специалистами JSOF атаки отравления кеша DNS напоминают атаку SAD DNS с использованием уязвимостей CVE-2020-25684, CVE-2020-25685 и CVE-2020-25686, затрагивающих версии Dnsmasq от 2.78 до 2.82. Остальные четыре обнаруженные исследователями проблемы (CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681) представляют собой уязвимости переполнения буфера и позволяют удаленно выполнить на уязвимом устройстве произвольный код.

На прошлой неделе компания Oracle выпустила первое кумулятивное обновление за 2021 год, которое содержит в общей сложности 329 исправлений. Компания устранила множество опасных уязвимостей в таких продуктах, как Oracle Utilities Framework , Oracle ZFS Storage Appliance Kit , Oracle Retail Merchandising System , Oracle Retail Sales Audit , Oracle Retail Order Broker , MySQL Workbench , MySQL Server и пр. Обновление также устраняет RCE-уязвимость ( CVE-2020-14750 ) в WebLogic Server, получившую оценку в 9,8 балла из 10 по шкале CVSS.

Компания Cisco исправила ряд критических уязвимостей в своих решениях для программно-определяемых глобальных сетей (SD-WAN) для бизнес-пользователей. В общей сложности было устранено восемь уязвимостей в SD-WAN, связанных с переполнением буфера и выполнением команд. Наиболее опасные проблемы могут быть использованы удаленным неавторизованным злоумышленником для выполнения произвольного кода на уязвимой системе с правами суперпользователя.

Одна из исправленных опасных уязвимостей ( CVE-2021-1300 ) переполнения буфера получила оценку в 9,8 балла из 10 по шкале CVSS и связана с некорректной обработкой IP-трафика. Злоумышленник может воспользоваться уязвимостью, отправив специально сформированный IP-трафик на уязвимое устройство, вызвав переполнение буфера при обработке. В конечном итоге это позволит ему выполнить произвольный код с правами суперпользователя.

Три другие критические уязвимости (CVE-2021-1138, CVE-2021-1140 и CVE-2021-1142) были исправлены в сателлите Cisco Smart Software Manager и получили оценку в 9,8 балла из 10 по шкале CVSS. Они связаны с пользовательским web-интерфейсом Cisco Smart Software Manager и могут позволить удаленному неавторизованному злоумышленнику выполнять произвольные команды в качестве пользователя с высокими привилегиями на уязвимом устройстве.

Разработчики медиаплеера VLC выпустили версию 3.0.12, устраняющую ряд опасных проблем , включая уязвимость (CVE-2020-26664), эксплуатация которой позволяла вызвать сбой в работе VLC или выполнить произвольный код с привилегиями пользователя.

Также стало известно о множественных опасных уязвимостях в Eclipse OpenJ9 ( CVE-2020-27221 ), PeopleSoft Enterprise PeopleTools ( CVE-2021-2071 ), Archive_Tar ( CVE-2020-36193 ) и Hyperion Infrastructure Technology ( CVE-2019-12415 и CVE-2020-11984 ). Эксплуатация данных проблем может позволить злоумышленнику взломать уязвимую систему или получить доступ к конфиденциальным данным.