Overslaan en naar de inhoud gaan

Oracle-servers gekaapt voor cryptomining

Het SANS Technology Institute waarschuwt voor lopende hackaanvallen door diverse daders op Oracle-software. PeopleSoft- en WebLogic-servers worden gekaapt en ingezet om cryptovaluta te minen voor de hackers.
Nederland doelwit cryptoming hacks
© Morphus Labs
Morphus Labs

De ingang is een verse kwetsbaarheid in de WebLogic-webserver, die ook dienst kan doen voor PeopleSoft-installaties. Leverancier Oracle heeft in december patches uitgebracht voor grote kwetsbaarheden in zijn PeopleSoft-applicatieserver. Installatie van deze kritieke lapmiddelen blijkt achter te lopen op de onthulling en inzet van exploitcode voor de beveiligingsgaten.

Nederland op de kaart

Het SANS Technology Institute meldt in verschillende blogposts dat meerdere aanvallers gebruik maken van de openstaande kwetsbaarheden. De slachtoffers zijn wereldwijd verspreid, waarbij ook doelwitten in Nederland zijn gedetecteerd. Ons land kent een hoge concentratie, blijkt uit een wereldkaart gemaakt door security-onderzoeker Renato Marinho van Morphus Labs. Hij heeft een eerste blog gepubliceerd bij SANS over deze securitybedreiging.

wereldkaart cryptomining hacks
wereldkaart cryptomining hacks

“Dit is geen gerichte aanval”, schrijft hoofdonderzoeker Johannes Ullrich van SANS in zijn vervolgblog over de internationale hackaanvallen. Kant-en-klare exploitcode voor de gaten in Oracle’s software is namelijk eind december openlijk vrijgegeven door een Chinese security-onderzoeker. “Toen de exploit eenmaal was gepubliceerd, kon iedereen met beperkte scripting-skills meedoen aan het hacken van WebLogic-servers.”

Kinderspel

Het uitvoeren van deze aanval op Oracle’s business-applicaties is behoorlijk eenvoudig, legt Marinho uit in zijn analyse. De gebruikte kwetsbaarheden maken het mogelijk om op afstand kwaadaardige code uit te voeren. Vooralsnog wordt deze vergaande hackmogelijkheid niet gebruikt voor diefstal of digitale gijzeling van kostbare bedrijfsgegevens, schrijft technieuwssite Ars Technica.

De diverse aanvallers gaan voor een andere vorm van geld verdienen. De gehackte applicatieservers worden namelijk ingezet voor het minen van virtuele valuta. SANS-expert Ullrich schrijft dat een aanvaller in een specifiek geval tenminste 611 Monero-munten heeft ‘ontgind’. Deze hoeveelheid cryptovaluta komt neer op 226.070 dollar. Een teken van infectie is dan ook een hoog processorgebruik van de applicatieserversoftware.

Cloudkracht, voor kwaad

De door Marinho in kaart gebrachte aanval heeft een legitieme software voor Monero-mining geïnstalleerd op 722 kwetsbare WebLogic- en PeopleSoft-servers. Een groot deel daarvan draait op publieke clouds, meldt Ullrich. "Dit is niet verwonderlijk aangezien veel organisaties hun meest kritieke data naar de cloud brengen", schrijft de onderzoeker.

Meer dan 140 van de gevonden cloudsystemen draait in de AWS-omgeving (Amazon Web Services) van webwinkel en cloudgigant Amazon. Daarnaast zijn diverse andere hosting- en clouddiensten getroffen, waaronder die van Digital Ocean, Google en Microsoft. Ironisch genoeg bevindt zich daaronder ook de publieke cloud van softwareleverancier Oracle zelf. Het gaat hierbij om zo'n 30 gekaapte, cryptominende servers.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in