Laporan Institut Teknologi SANS terbaru yang diterbitkan pada tanggal 7 Januari lebih mirip sebuah bom untuk industri kriptografi. Ini mengungkapkan temuan peneliti Morphus Labs, Renato Marinho. Terdapat kerentanan di Oracle Weblogic yang menurutnya serangan cybercrime aktif global baru telah digunakan untuk menambang Monero Cryptocurrency.
Marinho menjelaskan bahwa penyerang menambang Monero di ratusan komputer yang memanfaatkan kerentanan. Ada beberapa penyerang yang terlibat dan yang menjadi target utamanya ialah server PeopleSoft dan Oracle WebLogic.
Para penyerang memanfaatkan kerentanan server aplikasi Web (CVE-2017-10271) yang diajukan Oracle pada bulan Oktober 2017. Eksploitasi proof-of-concept untuk kerentanan ini diterbitkan oleh pakar keamanan asal China Lian Zhang pada bulan Desember 2017, yang mungkin telah dimanfaatkan oleh penyerang untuk meluncurkan serangan ini.
Itu karena segera setelah proof-of-concept diterbitkan, laporan tentang pemasangan cryptamily mulai berdatangan; Laporan ini berasal dari beragam server yang terkena dampak diantaranya Server Athenix, GoDaddy, dan Digital Ocean.
Eksploitasi ini cukup mudah dilakukan karena script Bash digunakan untuk membuat pemindaian untuk target potensial yang mudah dan efektif.
Kabarnya, kerentanan tersebut mempengaruhi empat versi Oracle Fusion Middleware yang didukung yaitu 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 dan 12.2.1.2.0 beserta satu versi yang tidak didukung 10.3.3.0.
Saat ini, tidak ada bukti hilangnya data dari mesin yang diretas dan tampaknya tujuan utama eksploitasi adalah untuk menambang cryptocurrency. Sesuai dengan analisis Johannes B. Ulrich, Dekan Penelitian SANS, setidaknya 611 koin Monero diperoleh oleh penyerang, atau sekitar US $226.000.
“Pos Lian mungkin bukan yang pertama, tapi ini sepertinya eksploitasi yang digunakan dalam serangan yang dibahas di sini, dan pos tersebut tampaknya telah mulai meningkatkan minat akan kerentanan ini,” tulis Ulrich.
Ulrich mencatat bahwa cakupan serangan ini cukup luas dan ini berarti korban juga berada di seluruh dunia. Namun, Ulrich tidak berpikir bahwa ini adalah serangan yang ditargetkan karena setelah bukti eksploitasi terbukti berhasil sampai di internet, siapa pun yang memiliki keahlian scripting bisa menyerang server Oracle WebLogic/PeopleSoft.
Penyerang memasang paket perangkat lunak mining Monero yang sah yang dijuluki sebagai xmrig di hampir 722 sistem PeopleSoft dan Oracle WebLogic yang rentan, yang sebagian besar berjalan di atas layanan public cloud, sedangkan lebih dari 140 sistem berada di public cloud Amazon Web Services. Ada server lain yang lebih kecil sekitar 30 server yang berada di layanan public cloud Oracle.
Ulrich menyarankan agar korban perlu memperbaiki kerentanan server mereka sehingga bisa menghentikan respons mereka terhadap gangguan dan menghapus aktivitas mining yang terjadi.
