Des hackers ont découvert l’exploitation d’Oracle WebLogic RCE Flaw pour répandre Ransomware

Profiter des failles de sécurité nouvellement découvertes et même corrigées est devenu monnaie courante chez les cybercriminels, devenant ainsi l’un des plus importants facteurs de menace au quotidien, comme l’extraction crypto, le phishing et les rançons de logiciels.

Comme suspecté, une faille critique nouvellement révélée dans le serveur Oracle WebLogic, largement utilisé, a été repérée et utilisée activement dans le but de distribuer une version jamais vue du logiciel rançon, baptisée «Sodinokibi » par les chercheurs.

Le week-end dernier, The Hacker News a appris l’existence d’une faille critique de désérialisation de l’exécution du code à distance dans Oracle WebLogic Server qui pourrait permettre aux attaquants d’exécuter à distance des commandes arbitraires sur les serveurs affectés simplement en envoyant une requête HTTP spécialement conçue – sans aucune autorisation.

Pour remédier à cette faille (CVE-2019-2725), qui a touché toutes les versions du logiciel Oracle WebLogic et qui a reçu une note de gravité de 9,8 sur 10, Oracle a déployé le 26 avril un système de sécurité hors bande, un jour après avoir rendu cette faille publique et observé plusieurs attaques dans le vent.

D’après les chercheurs en cyber sécurité de l’équipe de recherche sur les menaces de Cisco Talos, un groupe inconnu de hackers se sert de cette faille depuis au moins le 25 avril en vue de faire passer un nouveau Logiciel nuisible sur des serveurs vulnérables.

Sodinokibi est une dangereuse variante de logiciel de rançon qui a été créée dans le but de crypter les fichiers du répertoire d’un utilisateur et d’effacer ensuite les copies de sauvegarde du système dans le but de prévenir les victimes de récupérer leurs données sans verser de rançon.

Aucune interaction requise pour déployer Ransomware

Puisque les hackers tirent parti d’une faille d’exécution de code à distance dans le serveur WebLogic, contrairement aux attaques de rançon habituelles, le déploiement du ransomware Sodinokibi ne requiert aucune interaction de l’utilisateur.

«Historiquement, la majorité des logiciels de rançon ont requis une certaine interaction de la part de l’utilisateur, comme par exemple ouvrir une pièce jointe à un message électronique, cliquer sur un lien malveillant ou exécuter un maliciel sur le dispositif », précisent les chercheurs dans un article de blog.

«Dans ce cas, les hackers ont tiré parti de la faille d’Oracle WebLogic, ce qui a fait en sorte que le serveur concerné télécharge une copie du logiciel rançon des adresses IP contrôlées par les hackers.»

Une fois qu’il a été téléchargé, le logiciel de rançon Sodinokibi crypte les systèmes de la victime et lui indique une demande de rançon pouvant atteindre 2 500 $ en bitcoin. Le montant double pour atteindre 5 000 $ si la rançon demeure impayée dans un nombre de jours précis, ce qui peut aller de deux jours à six jours.

Les hackers installent aussi GandCrab Ransomware

Les chercheurs ont aussi noté qu’environ huit heures après avoir installé Sodinokibi sur un système infecté, les hackers ont profité de la même faille du serveur WebLogic dans le but d’installer GandCrab (v5.2),  un autre logiciel antivirus connu.

«Il nous paraît étrange que les hackers aient décidé de disséminer des logiciels de rançon supplémentaires et différents sur la même cible», déclarent les chercheurs. «Sodinokibi en tant que nouvelle forme de rançon, les hackers ont peut-être eu l’impression que leurs tentatives antérieures n’avaient pas abouti et cherchaient encore de l’argent en distribuant Gandcrab»

Les hackers exploitent la faille du serveur Oracle WebLogic dans la nature depuis au moins le 17 avril dans le but de distribuer des mineurs de cryptomonnaies et autres types de logiciels malveillants.

WebLogic Server est un serveur d’application d’entreprise multi-niveaux fondé sur Java qui est utilisé par les entreprises pour la prise en charge des applications d’entreprise, et qui est souvent la cible des hackers qui essaient de lancer des opérations malveillantes telles que les de crypto-monnaies et de se faire attaquer par des logiciels de rançons

Les organisations qui ont recours au serveur Oracle WebLogic devraient veiller à actualiser leurs installations à la dernière version du logiciel dès que possible.