Ett botnät som går under namnet DarkIRC är en av flera attacker mot Oracle WebLogic-servrar runt om på internet, enligt en rapport från Juniper Threat Labs. Trots att Oracle släppte en uppdatering för den kritiska sårbarheten CVE-2020-14882 för två månader sedan är fortfarande nästan 3000 servrar sårbara enligt Junipers sökning med sökmotorn Shodan.
DarkIRC är en av flera attacker som kan utnyttja sårbarheten i WebLogic, men kanske den mest ”intressanta” eftersom den säljs på illegala marknader för så lite som 75 dollar. DarkIRC, som kan användas för att exekvera främmande kod på distans, började marknadsföras av någon med pseudonymen Freak_OG redan i början av augusti, skriver Bleeping Computer.
DarkIRC levereras till ouppdaterade WebLogic-servrar genom ett PowerShell-script över ett HTTP GET-anrop i form av en binär som kan detektera både sandlådor och analysverktyg. Alla som administrerar WebLogic-servrar uppmanas att uppdatera dem så fort som möjligt.
Läs också:
Ny dag-noll-attack mot Oracle Weblogic – så skyddar du dig
Oracle gör nytt försök att täppa till allvarlig sårbarhet
