Aktiva attacker mot Oracle WebLogic
En ny säkerhetsbugg har identifierats i Oracle WebLogic och utnyttjas just nu av angripare på Internet för att installera kryptominers. Sårbarheten är ett serialiseringsproblem och har fått CVE nummer 2019-2725. CVSS base score ligger på hela 9.8.
Du bör uppgradera till version 10.3.6 (?) och en patch för version 12.1.3 kommer på måndag uppger Oracle.
SANS ISC som kör en Weblogic honeypot fick upp följande meddelande:
####<Apr 28, 2019 10:47:02 PM UTC> <Error> <HTTP> <0aa00a61ebfc> <AdminServer> <[ACTIVE] ExecuteThread: '0' for queue: 'weblogic.kernel.Default (self-tuning)'> <<WLS Kernel>> <> <> <1556491622309> <BEA-101019> <[ServletContext@2141998910[app:bea_wls_internal module:bea_wls_internal.war path:/bea_wls_internal spec-version:null]] Servlet failed with IOException
java.io.IOException: Cannot run program "wget": java.io.IOException: error=2, No such file or directory
Angriparen försöker här köra wget, men wget finns inte installerat på systemet. Även finns det indikationer på att Muhstik Botnet samt Sodinokibi ransomware nyttjar säkerhetsbuggen.
ISC har även publicerat en PCAP-fil med denna förfrågan: