RCE-уязвимость в Oracle WebLogic используется для установки Cobalt Strike

Злоумышленники активно используют критическую уязвимость ( CVE-2020-14882 ) в платформах Oracle WebLogic для развертывания маяков Cobalt Strike, обеспечивающих постоянный удаленный доступ к скомпрометированным устройствам.

Как сообщили исследователи безопасности из SANS ISC, преступники используют ряд Powershell-скриптов в кодировке base64 для загрузки и установки полезных нагрузок Cobalt Strike на уязвимые платформы Oracle WebLogic.

Напомним, ранее Oracle выпустила внеплановое обновление для устранения критической уязвимости в ПО Oracle WebLogic. Уязвимость ( CVE-2020-14750 ) связана с другой проблемой в WebLogic (CVE-2020-14882), исправленной в рамках октябрьского обновления безопасности. Проблема (CVE-2020-14750) затрагивает версии Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 и может использоваться удаленно без взаимодействия с пользователем.

По результатам поисковых запросов Spyse было обнаружено более 3 тыс. серверов Oracle WebLogic, доступных в Сети и потенциально уязвимых к CVE-2020-14882.

Как сообщила команда специалистов Cisco Talos Incident Response (CTIR), 66% от всех атак с использованием программ-вымогателей в этом квартале были связаны с фреймворком Cobalt Strike. Предположительно, операторы вымогателей все больше полагаются на этот инструмент, отказываясь от обычных троянских программ.

Cobalt Strike — легитимный инструмент для тестирования на проникновение, также использующийся злоумышленниками для выполнения вредоносных действий после эксплуатации и для развертывания так называемых маяков, которые позволяют им получить постоянный удаленный доступ.