甲骨文被曝服務器漏洞，攻擊者竊獲 22.6 萬美元加密貨幣_門羅幣

點擊上方“CSDN”，選擇“置頂公眾號”

關鍵時刻，第一時間送達！

據外媒ArsTechnica近日報道，研究人員RenatoMarinho在SANSTechnologyInstitute發布的一份報告中稱，攻擊者利用甲骨文去年年底修補的Web應用程序服務器漏洞，針對PeopleSoft和WebLogic服務器開展了多輪攻擊。

攻擊者并沒有利用這個漏洞來竊取數據，而是將PeopleSoft和WebLogic服務器變成了挖礦工具，使用它來進行加密貨幣挖礦——有一名攻擊者利用這個漏洞，獲得了至少611個門羅幣，總價值高達22.6萬美元。

甲骨文宣布Oracle區塊鏈平臺云服務推出重大更新:北京時間7月28日消息，甲骨文宣布Oracle區塊鏈平臺云服務(Oracle Blockchain Platform Cloud Service)推出重大更新，以充分利用Oracle云基礎設施(Oracle Cloud Infrastructure)的諸多優勢，以及Hyperledger社區在Hyperledger Fabric領域的最新進展。

甲骨文公司區塊鏈產品開發集團副總裁熊光樑表示：“本次更新將Oracle區塊鏈平臺提升到了一個全新水平，包括動態擴展、高可用性以及快速部署在Oracle云基礎設施上運行的企業區塊鏈應用。它經過專門設計和開發，旨在滿足客戶對更加靈活、安全和可擴展的平臺不斷增長的需求，能支持各行各業的眾多使用場景中不斷增長的企業區塊鏈應用負載。”

甲骨文將為Oracle區塊鏈平臺云服務的現有客戶提供遷移功能，這些客戶可將賬簿數據和配置信息完好無損地遷移至新版本。[2020/7/29]

去年年底，甲骨文曾緊急修補PeopleSoft、Tuxedo重大漏洞JoltlandBleed

甲骨文對其區塊鏈云服務進行重大更新:金色財經報道，軟件開發巨頭甲骨文（Oracle）在新博客文章中介紹了其新一代的基于區塊鏈的云服務。甲骨文區塊鏈產品開發副總裁Frank Xiong表示，新版本具有許多關鍵的改進，可以實現更高級別的可擴展性和去中心化性。最重要的變化之一是引入了一種新的價格模型，該模型基于所需的CPU容量和存儲量，而不是交易量。新版本還支持實現共享治理的Raft共識協議。此外，還增強了歷史數據庫支持的可審計性。新版本的設計和開發是為了滿足客戶對更靈活、安全和可擴展的平臺不斷增長的需求，該平臺已準備好在各個行業的眾多用例中滿足企業區塊鏈應用程序不斷增長的工作量。[2020/7/25]

攻擊者所利用的漏洞出現在2017年11月。彼時，安全公司ERPScan的研究人員發現位于OracleTuxedo應用服務器軟件中的Jolt協定存在著5項重大漏洞，包括CVE-2017-10269、CVE-2017-10272、CVE-2017-10267、CVE-2017-10278和CVE-2017-10266，容易造成記憶體泄露、記憶體緩沖溢位攻擊、以及Jolt協定的DomainPWD密碼被暴力破解等威脅。

聲音 | 美盈森：參股公司甲骨文已將區塊鏈技術應用于產品防偽溯源領域:美盈森（SZ002303）在互動平臺回復投資者提問時表示，公司參股公司甲骨文超級碼核心產品“兩個平臺一個載體“：分別為以區塊鏈為底層技術架構的“超級碼 PaaS 開放平臺”和“超級農業大腦云平臺”，以及“一物一碼”產品身份證的應用載體。據甲骨文超級碼2019年半年度報告披露，甲骨文超級碼充分利用區塊鏈技術防篡改的特點，創造性地將區塊鏈技術應用于產品防偽溯源領域，實現了產品追溯節點與產品質量管理體系（GAP\\HACCP 等）匹配融合、存證防篡，并契合市場需求推出了智能物聯網防偽溯源包裝一體化解決方案、“溯源+品控+保險”區塊鏈品質溯源增信體系云平臺。[2019/10/26]

圖片來源于網絡

聲音 | 福布斯：甲骨文集成 Chainlink 的做法讓初創公司實現了創新的良性循環:福布斯發文稱全球最大軟件公司之一的甲骨文（ Oracle ）集成 Chainlink 推動提供企業級區塊鏈業務的做法，讓初創公司實現了創新的良性循環。Chainlink 將會與甲骨文旗下Oracle for Starups合作，Chainlink 的去中心化預言機技術將用于平臺上的智能合約，并可從 API 中獲利。[2019/7/31]

對于這番漏洞危機，甲骨文也在11月緊急釋放出安全更新，以修補PeopleSoft及底層TuxedoServer可能導致的重要資料外泄。其中最嚴重的是CVE-2017-10269，該漏洞為記憶體泄露漏洞，由于該漏洞類似2014年引發網絡重大災情的HeartBleed，因此安全公司將之命名為JoltlandBleed，漏洞風險等級高達CVSS10.0。

漏洞修補仍有可乘之機，攻擊者借其挖礦并獲取了大量加密貨幣

雖然甲骨文緊急修補了漏洞，但修補之后仍給攻擊者帶來了可乘之機。

Marinho表示，這名獲得611個門羅幣的攻擊者在722臺有漏洞的WebLogic和PeopleSoft系統上安裝了一個名為xmrig的門羅幣挖礦軟件——其中有超過140個系統運行在亞馬遜AWS公共云服務上，還有一部分托管在其他云服務上，其中30個為甲骨文自己的公共云服務。

攻擊者所使用的代碼可以輕松的找到那些含有漏洞的系統，因此所有未打補丁的甲骨文網絡應用服務器都會輕松地暴露在攻擊者面前。據研究院院長JohannesB.Ullrich今天發布的分析表示，攻擊者至少獲得了611枚門羅幣——價值226000美元的加密貨幣。

根據CoinMarketCap網站的數據，門羅幣的價格在2017年最后兩個月增長了三倍至349美元，漲幅更勝比特幣。根據彭博社數據顯示，比特幣的價格在同期內增長了一倍左右。根據CoinMarketCap網站的數據，在2018年的最初幾天，門羅幣的價格又上漲了7%。

黑色門羅幣，粉色以太坊，藍色比特幣，圖片來源于網絡

EteEtet表示，區塊鏈技術能夠詳細記錄比特幣交易的發送和接收地址，包括交易的精確時間和數量，這些都是證明犯罪分子罪行的有利證據。2014年誕生的門羅幣就不一樣了，門羅幣會在區塊鏈上加密收件人的位址，并創造一個假的寄件人位址加以混淆。在執法機構盯上比特幣之后，犯罪分子對門羅幣更是趨之若鶩。

利用漏洞代碼，系統更易受攻擊，未修補的OracleWeb應用程序服務器可能很快成為這些攻擊和其他攻擊的犧牲品。Ullrich警告說，受害者不應該簡單地通過修補服務器和刪除挖掘軟件企圖終止入侵——更復雜的情況是，攻擊者很可能會利用這些漏洞來獲得系統的長久入侵。

數據貨幣被盜事件頻發，背后有怎樣的思考？

近年來，數字貨幣被盜事件頻繁發生。回顧一下過往的數字貨幣被盜事件：

2014年8月，國內著名的山寨幣交易所比特兒遭到攻擊，被盜5000萬個NXT；2016年8月，來自香港的比特幣交易平臺Bitfinex遭受黑客攻擊，該平臺約有11.9756萬個比特幣從賬戶中被盜，損失價值約7000萬美元；2017年7月，韓國最大比特幣交易所遭黑客入侵，投資者一夜損失數十億韓元；……數字貨幣交易平臺給比特幣和其他數字貨幣的愛好者提供了一個平臺，更是推動了數字產業的發展，但這同時也在安全性方面提出了更高的挑戰。數字貨幣被盜的背后，只有做好數字貨幣交易平臺的安全性，才能保證數字貨幣持續健康的發展。

Tags：門羅幣比特幣數字貨幣門羅幣cpu算力表amd.e2.3200門羅幣挖礦教程新手門羅幣騙局比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢十大數字貨幣交易所排名數字貨幣交易

歐易okex官網