Internet Storm Center – Dshield Internet Security Wie Bitcoin Reddit zu kaufen

17. April 2018, hat Oracle eine weitere Schwachstelle Deserialisierung und Fernausführung (CVE-2018-2628) in WebLogic korrigiert. Am nächsten Tag wurden die technischen Aspekte der Schwachstelle in einem chinesischen Blog von Xinxi [1] erläutert. Am nächsten Tag, dem 19. April, wurde eine Proof-of-Concept-Leistung auf GitHub von Brianwrf [2] veröffentlicht. Und diesen Teil der Geschichte zu vollenden, vom 19. April haben wir eine Analyse zeigt auf den verwundbaren Dienst Potential T3 WebLogic (TCP / 7001) bemerkt.

Nun fügen wir ein wenig mehr dazu. Durch die Analyse von einem unserer Honeypots und Daten erlitten Angriff, dass wir die aktuelle Kampagne sammeln können, fanden wir, dass das erste Opfer beeinträchtigt wurde 18. April 7.36 (UTC-0) – ein paar Stunden nach der Veröffentlichung Patch.


Es war das erste von 447 (und zählt). Wenn du denkst, dass wir über eine andere Kryptojacking-Kampagne sprechen, hast du es erraten. Lass uns ein paar Details sehen.

Etwa 3 Stunden nach dem Online unserem Web-Honeypot CVE-2018-2628 gestern wurde er zum ersten Mal von einem Host aus China (94.155.41.82 IP) gezielt einem mit Exploit basierend auf Brianwrf des [2] . Sie versuchten, eine Nutzlast Windows von der IP-Adresse 117.79.132.174, Port 443, heruntergeladen zu tragen, wie in Abbildung 2 dargestellt.

Es scheint, dass die Zeit zwischen der Offenlegung von Vulnerabilität und opportunistischer Ausbeutung immer mehr abnimmt. Aus dieser Episode können wir lernen, dass diejenigen, die nicht die Zeit haben, schnell zu reparieren, viel mehr Zeit finden müssen, um sich von zukünftigen Vorfällen richtig zu erholen.

Was alles noch schlimmer in diesem Fall macht, ist, dass selbst diejenigen, die ihre Zeit Systeme gepatcht haben möglicherweise ausgesetzt sind. Wie bereits im Podcast ISC [3] und von Bleeping Rechner genannt, [4] CVE-2018-2628 Schwachstelle wurde nicht auf seinen Kernfestgelegt, sondern die schwarze Liste mit Befehlen Ausbeutung zu vermeiden. Ich habe gerade keine neue Version des Sichtbaren ausnutzen kann den Schutz umgehen, aber bis wir einen neuen Patch haben, wird empfohlen, den Zugriff auf Port TCP / 7001 auf Anlagen zu begrenzen, WebLogic.

Am 17. April 2018 hat Oracle in WebLogic eine weitere Schwachstelle für die Remote-Deserialisierung und Remoteausführung (CVE-2018-2628) behoben. Am nächsten Tag wurden die technischen Aspekte der Schwachstelle in einem chinesischen Blog von Xinxi [1] erläutert. Am nächsten Tag, dem 19. April, wurde eine Proof-of-Concept-Leistung auf GitHub von Brianwrf [2] veröffentlicht. Und diesen Teil der Geschichte zu vollenden, vom 19. April haben wir eine Analyse zeigt auf den verwundbaren Dienst Potential T3 WebLogic (TCP / 7001) bemerkt.

Nun fügen wir ein wenig mehr dazu. Durch die Analyse von einem unserer Honeypots und Daten erlitten Angriff, dass wir die aktuelle Kampagne sammeln können, fanden wir, dass das erste Opfer beeinträchtigt wurde 18. April 7.36 (UTC-0) – ein paar Stunden nach der Veröffentlichung Patch. Es war das erste von 447 (und Zählen). Wenn Sie denken, wir sprechen eine andere cryptojacking Kampagne über, Sie ahnen es. Lassen Sie uns einige Details sehen.

Etwa 3 Stunden nach dem Online unserem Web-Honeypot CVE-2018-2628 gestern wurde er zum ersten Mal von einem Host aus China (94.155.41.82 IP) gezielt einem mit Exploit basierend auf Brianwrf des [2] . Sie versuchten, eine Nutzlast Windows von der IP-Adresse 117.79.132.174, Port 443, heruntergeladen zu tragen, wie in Abbildung 2 dargestellt.

Es scheint, dass die Zeit zwischen der Offenlegung von Vulnerabilität und opportunistischer Ausbeutung immer mehr abnimmt. Aus dieser Episode können wir lernen, dass diejenigen, die nicht die Zeit haben, schnell zu reparieren, viel mehr Zeit finden müssen, um sich von zukünftigen Vorfällen richtig zu erholen.

Was alles noch schlimmer in diesem Fall macht, ist, dass selbst diejenigen, die ihre Zeit Systeme gepatcht haben möglicherweise ausgesetzt sind. Wie bereits im Podcast ISC [3] und von Bleeping Rechner genannt, [4] CVE-2018-2628 Schwachstelle wurde nicht auf seinen Kernfestgelegt, sondern die schwarze Liste mit Befehlen Ausbeutung zu vermeiden. Ich habe gerade keine neue Version des Sichtbaren ausnutzen kann den Schutz umgehen, aber bis wir einen neuen Patch haben, wird empfohlen, den Zugriff auf Port TCP / 7001 auf Anlagen zu begrenzen, WebLogic.