SANS：甲骨文WebLogic漏洞已遭駭客開採，植入xmrig門羅幣挖礦程式

SANS Institute於本周表示，甲骨文（Oracle）在去年10月修補的WebLogic安全漏洞已遭駭客開採，駭客藉由攻擊程式於WebLogic上植入門羅幣挖礦程式xmrig，而且除了WebLogic之外，以WebLogic作為網路伺服器的PeopleSoft系統亦受到池魚之殃。

甲骨文去年10月修補的WebLogic漏洞編號為CVE 2017-10271，該漏洞允許未授權的駭客自遠端執行任意命令。WebLogic為一Java EE應用伺服器，因它也能充當PeopleSoft人力資源管理系統的網路伺服器，而使得該漏洞得以波及PeopleSoft。

SANS Institute的安全研究人員Renato Marinho先是在本周日（1/7）發現鎖定CVE 2017-10271的攻擊程式，且該攻擊程式主要是於受駭系統上執入xmrig挖礦程式，進一步分析之後則發現，該攻擊程式可同時開採WebLogic及基於WebLogic的PeopleSoft系統，迄今至少已發現兩起攻擊行動。

令Marinho感到驚訝的是，駭客對WebLogic或PeopleSoft系統上的資料並無興趣，只選擇了於被駭系統上植入挖礦程式。

他在其中一名駭客的帳號中發現611個門羅幣，市價約為22.6萬美元，不過，該名駭客的挖礦效能為450 KH/s（哈希率），每月大概可賺取價值3.1萬美元的門羅幣，因而猜測駭客可能已潛伏一段時間，或是某些系統上的挖礦程式已被移除。

另一起開採同一漏洞的駭客行動則是於被駭系統上植入了永世幣（AEON）挖礦程式，雖然它的挖礦效能也差不多是450 KH/s，但迄今只賺取約6000美元。SANS打趣地說，當駭客看到這篇文章時，也許就會改挖門羅幣了。

截至本周二（1/9）為止，SANS約找到722個受害IP位址，且有極高的比例散布在雲端服務上，例如AWS佔了超過140個、Digital Ocean佔了逾40個，Google Cloud、Azure及Oracle Cloud也都有30個。

SANA警告，這並非為目標式攻擊，受害者遍布全球，一旦攻擊程式現身，任何具備基本腳本程式能力的人都能入侵WebLogic或PeopleSoft伺服器。