Exploitation d'une vulnérabilité sur Oracle WebLogic

Une vulnérabilité critique sur Oracle Weblogic identifiée par la CVE-2019-2725 (dont un correctif a été publié la semaine du 22 au 28 avril 2019) est actuellement exploitée par une variante du réseau de machines zombies (botnet) Muhstik et du rançongiciel (randsomware) Sodinokibi.

Pour rappel, la vulnérabilité identifiée permet d'exécuter des commandes à distance sur les machines vulnérables.

Détails techniques

CVE-2019-2725 [CVSS v3 9.8]

  • Réseau de machines zombies (botnet) Muhstik

Les attaques du botnet Muhstik, ciblant la nouvelle vulnérabilité CVE-2019-2725 WebLogic, se caractérisent par une charge utile d'exploitation qui inclut une commande shell pour télécharger un fichier.php depuis l'adresse IP 165[.]227[.]78[.]159.

Les attaques ont pour objectif de provoquer un déni de service distribué (DDoS) et un piratage cryptographique.

  • Rançongiciel Sodinokibi

Le rançongiciel Sodinokibi est conçu pour chiffrer les fichiers et supprimer les sauvegardes afin d'empêcher les victimes de récupérer leurs fichiers si la rançon n'a pas été payée.

Le rançongiciel utilise des commandes PowerShell pour télécharger et exécuter les fichiers malveillants. Le rançongiciel Sodinokibi est conçu pour attribuer une extension alphanumérique unique aux fichiers chiffrés sur chaque système compromis.
La rançon exigée par les cybercriminels varie entre 1 500 $ et 2 500 $ (l'équivalent en bitcoin).

Informations
+

Risques

  • Attaque par déni de service.

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Réseau de machines zombies (botnet) Muhstik ;
  • Rançongiciel Sodinokibi.

Composants & versions vulnérables

  • Oracle WebLogic Server, versions 10.3.6.0 et 12.1.3.0.

CVE

  • CVE-2019-2725 [CVSS v3 9.8]

Recommandations
+
  • Oracle recommande de mettre à jour au plus vite son produit Oracle Weblogic avec la dernière version préconisée.
  • Enregistrer et collecter les événements Web, applications et systèmes d'exploitation.
  • Restreindre l'accès au compte utilisé pour exécuter le processus WebLogic
  • Surveiller les signes de compromission :
    • Communications réseaux suspectes
    • Présence de fichiers "Canary" spécifique au rançongiciel Sodinokibi.
    • Activité inattendue des comptes de service/système (utilisateur WebLogic).
  • Segmenter le réseau pour la défense et la surveillance.
  • Contrôler l'accès URL (dans ce cas, accès externe à "/_async/*" et "/wls-wsat/*").
  • Réalisation de test de PRA (Plan de Reprise d'Activité) et de restauration des données.
  • Configurer PowerShell pour exécuter uniquement les scripts signés.