Den populära applikationsservern Weblogic från it-jätten Oracle kan utsättas för en nyligen upptäckt dag-noll-attack, vilket inte är första gången, men eftersom Oracle släpper sina säkerhetsuppdateringar var tredje månad, och nyligen släppte den senaste, kan det dröja till juli innan den nu aktuella attacken fixas av företaget, skriver ZDNet.

Under tiden bör organisationer som kör Weblogic vidta andra åtgärder för att säkra sina system. Oracle har varnats av kinesiska säkerhetsforskare på företaget Knownsec 404, mest kända för sin sökmotor Zoomeye som till sin funktion liknar Shodan, som nyligen upptäckte sårbarheten och tecken på att angripare utnyttjar sårbarheten.

Enligt de kinesiska säkerhetsforskarna finns det 36 000 publika Weblogicservrar i världen. Sårbarheten har bekräftats av andra säkerhetsföretag, bland andra Waratek och F5 Labs.

Enligt Knownsec 404 riktar sig attackerna mot de instanser av Weblogic som kör komponenterna WLS9_ASYNC och WLS-WSAT. Den förra lägger till stöd för asynkrona server-operationer och den senare är serverns säkerhetskomponent.

TechWorld Summit 4 juni 2019, nätverka med 300 IT-proffs och få samtidigt en heltäckande överblick av den senaste tekniken.

Bägge komponenterna har en sårbarhet som medger så kallad deserialisering av skadlig kod och som kan få till följd att angripare kan ta över hela servern. För att förhindra attacker bör administratörerna antingen ta bort komponenterna och starta om servern, eller lägga in brandväggsregler som förhindrar förfrågningar mot url-sökvägarna /_async/* och /wls-wsat/*, vilka utnyttjas av attackerna.

För tillfället tyder allt på att angriparna mest ägnar sig åt att söka efter sårbara system, och försöker inte få in skadlig kod på de potentiella systemen, men enligt källor till ZDnet är det bara en tidsfråga innan angriparna växlar upp till faktiska attacker. Modus operandi är att de först söker av nätet efter offer och sen sätter in attacker.

Sett till historien är Weblogicservrar ett av de mest eftersökta systemen att attackera bland cyberkriminella. Dels är de många och är enkla att hitta, dels har Weblogic-servrar ofta tillgång till kraftfulla resurser vilket gör dem utmärkta för att bryta kryptovalutor. Detta har också hänt flera gånger med sårbarheterna CVE-2017-10271, CVE-2018-2628 och CVE-2018-2893. Den nu aktuella sårbarheten verkar ännu inte tilldelats någon CVE-kod.

Läs också:
Yxan går på Oracle – uppges göra stora neddragningar över hela världen
Inte IBM, inte Oracle. Nu är det bara två kvar i kampen om supermegaaffären