Morphus实验室的首席研究官Renato Marinho曾在今年1月份发文指出,有犯罪集团利用一个在2017年12月份被首次公开披露的漏洞CNNVD-201710-829 (CVE-2017-10271)针对Oracle WebLogic服务器展开了大规模的攻击活动。而其最终目的是在受感染的WebLogic服务器上安装加密货币挖矿恶意软件,以此来挖掘门罗币和AEON币。
现在,由于大多数Oracle WebLogic服务器都已经得到了修复,使得该集团不得不转移到下一个目标。根据Marinho的说法,易受攻击的Apache SOLR服务器似乎就已经成为了Oracle WebLogic服务器的“继承者”。
Marinho表示,在2月28日到3月8日这短短的9天里,一个犯罪集团在全球范围内使用恶意软件感染了1416台易受攻击的Apache SOLR服务器,并部署了众所周知的门罗币矿工(XMRig)。
Marinho怀疑这一犯罪集团极有可能就是Oracle WebLogic服务器攻击事件背后的组织者。因为两次攻击之间存在很多相似之处,如日志格式、文件名以及矿工的基本安装脚本都是相同的。当然,Marinho也表示不排除是仿冒者所谓,因为自这些脚本被公开以来已经有一段相对较长的时间了。
Apache SOLR是一个基于Lucene java库的企业级搜索服务器,主要功能包括全文检索、分面搜索(faceted search)、近实时索引、富文本索引以及空间搜索等等。其在全球拥有众多用户,如AOL、Disney、Apple等。
攻击中的利用的Apache SOLR漏洞被标识为CNNVD-201710-501(CVE-2017-12629),这是一个在2017年10月12日首次被公开披露的远程代码执行漏洞,影响Apache SOLR 7.1及之前版本。由于“queryparser”库中配置错误的XML解析器,攻击者可以访问敏感信息或在易受攻击的系统上执行任意代码。
CVSS v2评分为7.5,CVSS v3评分为9.8,这意味着它属于一个高危漏洞,或者“Critical(关键)”漏洞。在它被公开披露不到一周之后,就已经得到了网络犯罪分子的广泛应用。因此,它会成为Oracle WebLogic服务器的“继承者”并不奇怪。
根据Marinho的说法,受感染设备数量一直在持续增加。在2月28日到3月8日期间,这场攻击活动共感染了1777台设备,其中有1416台是Apache SOLR服务器。
值得注意的是,由于漏洞来源于“queryparser”库中配置错误的XML解析器,因此依赖于“queryparser”的其他软件也可能存在被攻击的风险。这可能包括:IBM InfoSphere 11.5版本、JBoss Data Grid verions 7.0.0,7.1.0版本、JBoss Enterprise Application Platform(EAP)6,7,7.0.8版本以及JBoss Enterprise Portal Platform 6版本等。
Marinho告诉媒体,目前无法确定该集团利用受感染的Apache Solr服务器挖掘了多少数量的门罗币,因为他们使用了代理来访问Monero挖矿池,这使得他们能够隐藏其门罗币钱包地址。
还没有评论,来说两句吧...