Хакеры атаковали серверы Oracle WebLogic после публикации PoC-кодов

Специалисты по информационной безопасности компаний ISC SANS и Qihoo 360 Netlab сообщили, что сервера Oracle WebLogic подверглись нападениям со стороны киберпреступников. Известно, что целью атак были системы, на которых не был установлен недавно вышедший патч, исправляющий критическую уязвимость CVE-2018-2893.

Уязвимость CVE-2018-2893 является брешью в компоненте программного обеспечения Oracle WebLogic, позволяющей хакеру подчинить себе сервер и выполнить произвольный код, причем для исполнения всех действий не требуется знать пароль от устройства.

18 июля 2018 года компания Oracle опубликовала обновление, устраняющее ряд уязвимостей. Но через три дня в открытый доступ попало несколько PoC-кодов, два из которых до сих пор в Интернете. После распространения информации о наличии эксплойтов, 21 июля, начались первые атаки.

Инструменты и безопасность

Cпециалисты считают, что есть, по крайней мере, две группы хакеров, которым, возможно, удалось автоматизировать свои действия по использованию уязвимостей в своих целях.

Уязвимость была обнаружена в версиях Oracle WebLogic 10.3.6.0, 12.1.3.0, 12.2.1.2 и 12.2.1.3. Сотрудники компании рекомендуют владельцам серверов в целях безопасности оперативно установить обновление, выпущенное в июле 2018 года, которое закрывает «дыры» безопасности в Java SE, VirtualBox, MySQL и других инструментах.