Ataques Usam Oracle Database Scheduler para Infiltrar Empresas

Recentemente, um novo vetor de ataque tem sido explorado por cibercriminosos, que abusam do Oracle Database Scheduler, um serviço que executa tarefas programadas em servidores de banco de dados Oracle. Os atacantes conseguiram obter acesso remoto ao sistema ao tentar logins repetidamente até conseguir autenticar-se com privilégios SYSDBA, permitindo controle total sobre as operações do banco de dados. Após a infiltração, utilizaram a capacidade do scheduler para executar trabalhos externos, como o processo extjobo.exe, que permite a execução remota de comandos com privilégios elevados. Isso possibilitou a execução de scripts de reconhecimento e o download de cargas úteis de sua infraestrutura de comando e controle (C2). Além disso, os atacantes implementaram túneis criptografados usando Ngrok para manter o acesso sem serem detectados, criando arquivos de configuração que expunham portas de desktop remoto. Durante o movimento lateral, eles escalaram privilégios e implantaram ransomware, que criptografou dados da empresa e deixou notas de resgate. Este incidente destaca a vulnerabilidade crítica do Oracle DBS Job Scheduler, especialmente quando combinado com separação de privilégios fraca e monitoramento insuficiente das atividades agendadas. Para mitigar esses riscos, é essencial que as empresas priorizem a segmentação de rede e monitorem atividades suspeitas no scheduler.

Fonte: https://cyberpress.org/oracle-database-scheduler-attack/

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).