Af Eskil Sørensen, 02/11/20
En kritisk og nem-at-udnytte sårbarhed (CVE-2020-14882) i Oracle WebLogic Server er blevet et mål for hackere. Det skriver Bleeping Computer.
Udnyttelsen kan ske ved fjerneksekvering af kode, der sker via en simple HTTP GET-anmodning, og som gør det muligt at overtage styringen af et system uden at skulle give sig til kende. På CVSS-skalaen har sårbarheden en score på 9,8 ud af 10. Oracle har rettet sårbarheden i forbindelse med oktobers frigivelse af opdateringer.
Det er honeypots oprettet af SANS Technology Institute, der har opdaget hackerne kort efter at udnyttelseskoden til sårbarheden blev kendt. De sårbare versioner af Oracle WebLogic Server er 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 og 14.1.1.0.
Johannes Ullrich, forskningsdekan ved SANS, siger, at udnyttelsesforsøgene på honningkrukkerne kom fra IP-adresser i hhv. Kina, USA, Moldova og Hong Kong. SANS Institute er i gang med at advare internetudbydere om aktiviteten fra de lokaliserede IP-adresser. De angreb, der blev observeret af SANS, kommer lidt over en uge efter, at Oracle udgav en patch til CVE-2020-14882. Anvendelse af programrettelsen er i øjeblikket den bedste løsning til at beskytte mod disse angreb.
En søgning på Spyse’ engine til scanning og indsamling af rekognosceringsoplysninger fra udsatte systemer viser, at der er mere end 3.000 Oracle WebLogic-servere, der er tilgængelige via det offentlige internet og potentielt sårbare over for CVE-2020-14882.
Links:
https://www.helpnetsecurity.com/2020/10/29/cve-2020-14882/