Trend Micro ระบุช่องโหว่ใน Oracle WebLogic Server ช่องโหว่ดังกล่าวจะทำให้แฮ็กเกอร์สามารถติดตั้ง Malware แอบขุดเหรียญ Monero
ฝังตัวขุด Monero
ในเดือนเมษายนปี 2019 ฝนการประกาศความปลอดภัย CVE-2019-2725 พบว่าได้เจอปัญหาร้ายแรงในส่วนของ Oracle WebLogic Server ของ Oracle โดยเวอร์ชันที่ติด Malware นี้ได้แก่ 10.3.6.00 และ 12.1.3.0.0 การโจมตีดังกล่าวช่วยให้ผู้โจมตีสามารถเข้าถึงเครือข่ายผ่าน HTTP ได้นั่นเอง
ช่องโหว่ดังกล่าวอนุญาตให้มีการครอบงำหรือคุมคุมตัว Oracle WebLogic Server ได้
Oracle WebLogic Server คือ Application Server สถาปัตยกรรมของ Oracle WebLogic Server สามารถรองรับการใช้งานของ Application ที่เป็น Java Platform
Oracle WebLogic Server ช่วยความยืดหยุ่นของการใช้งาน ความสามารถในการใช้งานได้อย่างมีประสิทธิภาพสูงสุดและเมื่อ server ใด server หนึ่งเกิดปัญหา ก็สามารถใช้ sever อื่นๆทดแทนได้โดยไม่ส่งผลกระทบกับผู้ใช้งานการใช้งานแอปพลิแคชั่น นั่นเอง
อย่างไรก็ตามจากการตรวจสอบของ Trend Micro พบว่าปัญหาดังกล่าวมีอะไรที่ซับซ้อนกว่าที่คิดเอาไว้ เพราะมันจะสามารถลง Malware ขุด Monero เลยโดยไม่มีใครสงสัยหรือถูกตรวจจับได้
Malware ขุดเหรียญได้ประโยชน์จากช่องโหว่
เห็นได้ชัดว่าการติดตั้งเครื่องมือที่เป็นอันตรายเหล่านี้เป็นสิ่งที่สามารถทำได้ค่อนข้างง่ายดาย
อย่างแรกก็คือ Malware ตัวนี้จะใช้ฟังก์ชั่นเฉพาะให้ระบบดาวน์โหลดไฟล์ certificate และถูกบันทึกภายใต้ชื่อเฉพาะของมัน มันเหมือนใบรับรองแบบ Privacy-Enhanced Mail (PEM) ปกติแต่แฮ็กเกอร์ได้ฝัง Malware ขุดไว้เรียบร้อยแล้ว
ใบรับรองนี้มีหน้าที่ในการดาวน์โหลดและเรียกใช้งานโปรแกรมขุด Monero ไฟล์ปรับแต่งสำหรับขุดไฟล์อื่น ๆ
ยังไม่ทราบแน่ชัดว่ามีระบบไหนได้ผลกระทบจากการละเมิดในครั้งนี้ และเครื่องไหนที่กำลังถูกขุดอยู่บ้าง
ภัยร้ายซ่อนอยู่
ภัยร้ายที่ซ่อนตัวอยู่นี้ ทำให้ตระหนัได้ว่า มันสามารถคุกคามผ่าน Certificate โดยมันสามารถหลบหลีกการตรวจจับได้ ทาง Trend Micro ค้นพบว่าจริงแล้วมันเป็นอันตรายต่อเครื่องที่ติด Malware ตัวนี้แล้ว
และเมื่อวธีนี้มันง่ายต่อการแฮ็ก เราอาจเห็นแฮ็กเกอร์ได้ใช้ประโยชน์จากวิธีนี้ผ่านใบ Certificate อย่างแน่นอน ไม่ใช่แค่ Oracle เท่านั้นที่ปวดหัว แต่ยังมีระบบการจัดการฐานข้อมูลอื่น ๆ อีกด้วย
กดคลิกเพื่อแสดงความเห็น