The Hacker Newsは9月16日(米国時間)、「Hackers Targeting WebLogic Servers and Docker APIs for Mining Cryptocurrencies」において、サイバー犯罪者グループが最近公開されたOracle WebLogic Serverの脆弱性および古いセキュリティ欠陥を悪用して暗号資産をマイニングするマルウェアを配信していると伝えた。
攻撃グループが脆弱性を悪用し、Security-Enhanced Linux (SELinux) などのオペレーティングシステムのセキュリティ機能を無効にする悪意のあるPythonスクリプトなどをドロップしていることが確認されている。
展開されているマルウェアは「Kinsing」と呼ばれており、主に不適切に構成されたオープンなDocker Daemon APIポートを介してDockerコンテナ環境に対するキャンペーンに使われている。今回発見されたサイバー攻撃では、2年前に発見されたリモートコード実行(RCE: Remote Code Execution)のバグが悪用され、パッチが適用されていないサーバを制御して悪意のあるペイロードを投下し、マルウェアを展開していることがわかった。
使われた欠陥はCVE-2020-14882として特定されており、脆弱性の深刻度はCVSSv3スコア値9.8で、Critical(緊急)と位置づけられている。影響を受けるOracle WebLogic Serverのバージョンは10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0とされている(参考「Oracle WebLogicの脆弱性を悪用するDarkIRCボットが確認される | TECH+(テックプラス)」)。
The Hacker Newsは、Kinsingマルウェアの背後にいるサイバー犯罪者は、過去にRedis、SaltStack、Log4Shell、Spring4Shell、Atlassian Confluenceの欠陥など、脆弱なサーバをボットネットに組み込むためにスキャンを行ってきた歴史があるとし、ユーザーに注意を呼びかけている。