Video: Exploiting a Java Deserialization Vulnerability using Burp Suite (November 2024)
Z zadnjim izkoriščanjem nič-dnevnega izkoriščanja Jave premagamo boben "update Java now" in v paradi SecurityWatch igramo "onemogoči Javo skupaj". Če to ni bilo dovolj, so nedavne novice, da je kampanja za kibernetski napad Rdečega oktobra izkoristila izkoriščanje Java, le še en razlog, da stopite v korak.
Vektor napada Jave je odkril Seculert in ga objavil v torek na spletnem dnevniku podjetja. Medtem ko mnogi napadalci izkoriščajo izkoriščanje Java, se ta razlikuje od tistega, kar je bilo prej znano o Rdečem oktobru. V prvotnem poročilu o kampanji iz laboratorijev Kaspersky je bil za rdeči oktober značilno, da se je zanašal na zelo ciljno usmerjene napade e-pošte z okuženimi datotekami.
"Vektorsko so napadalci poslali e-pošto z vdelano povezavo na posebej izdelano spletno stran PHP, " piše Seculert. "Ta spletna stran je izkoristila ranljivost na Javi (CVE-2011-3544) in v ozadju samodejno prenesla in izvedla zlonamerno programsko opremo."
Ni novo izkoriščanje
Pomembno je omeniti, da napad Java na Rdeči oktober ni izkoriščanje nič dni, ki smo ga pokrivali. Pravzaprav Seculert piše, da je bil ta del napada na Rdeči oktober napisan okoli februarja 2012, medtem ko je bil izkoriščanje, ki ga uporablja, nadomeščeno oktobra 2011. Zato je treba vašo programsko opremo posodobiti in posodobiti.
Po objavi novic o Java vidiku Rdečega oktobra je Kaspersky objavil nadaljevanje z več informacijami. "Zdi se, da skupina tega vektorja ni močno uporabljala, " piše Kaspersky. "Ko smo prenesli php, odgovoren za vročanje arhiva zlonamernih kod '.jar', je bila vrstica kode, ki zagotavlja izkoriščanje jave, komentirana."
Poskuša, da bi označil ta vidik napada, Kaspersky ne verjame, da to kaže na drugačen pristop do Rdečega oktobra. Namesto tega menijo, da je v skladu z metodičnimi, dobro raziskanimi napadi, ki so zaščitni znak Rdečega oktobra.
Kaj pomeni
"Lahko bi špekulirali, da je skupina nekaj dni uspešno dostavila zlonamerno programsko opremo do ustreznih ciljev, nato pa napora ni bilo treba več, " je včeraj napisal Kaspersky. "Kar nam lahko tudi pove, da se je ta skupina, ki je skrbno prilagodila in razvila svoj nabor orodij za infiltracijo in zbiranje v okolico žrtev, morala v začetku februarja 2012 preusmeriti na Javo iz svojih običajnih tehnik podvodnega lova."
Kaspersky je nadaljeval s pisanjem, da se več tehničnih vidikov tega napada razlikuje od drugih napadov Rdečega oktobra, zaradi česar varnostno podjetje verjame, da je bil ta izkoriščanje razvit za točno določeno tarčo.
Olajšanje je slišati, da Java-vidik Rdečega oktobra ni bil uporabljen za ciljanje širšega števila žrtev. Medtem ko je ta kibernetska akcija grozljiva po svoji učinkovitosti, so se njeni ustvarjalci osredotočili na odmevne vladne in diplomatske cilje in ne na vsakdanje uporabnike. Vendar pa tudi dokazuje, da napadalci dobro poznajo veliko področij programske opreme, ki bodo izkoristili lene uporabnike, ki jim jemljejo posodobitve.
Več o Maxu spremljajte na Twitterju @wmaxeddy.