Apollon
Ветеран
Apollon
Ветеран
- Статус
- Offline
- Регистрация
- 21 Апр 2018
- Сообщения
- 892
- Реакции
- 3
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
В течение почти двух недель киберпреступники сканируют интернет в поисках серверов Oracle WebLogic. Сканирование началось после 17 апреля, когда компания Oracle выпустила свои квартальные плановые обновления безопасности.
Апрельские обновления в частности содержат патч для уязвимости (CVE-2018-2628) в ключевом компоненте WebLogic – WLS. Уязвимость получила оценку в 9,8 балла из 10, поскольку позволяет неавторизованному злоумышленнику выполнить код на удаленном сервере WebLogic.
Проблема была обнаружена экспертом NSFOCUS Security Team Ляо Синьси (Liao Xinxi) и независимым исследователем безопасности loopx9. Спустя день после выхода исправления Синьсирассказалв китайской соцсети, как работает уязвимость, и на основании его публикации пользователь GitHub под псевдонимом Brianwrf опубликовал для нее PoC-эксплоит.
Публикация рабочего PoC-эксплоита незамедлительно привела к всплеску числа сканирований порта 7001, используемого уязвимым сервисом WebLogic «T3». Тем не менее,по словамэкспертов компании GreyNoise, первыми обнаруживших рост интереса к порту 7001, пока что дальше сканирований дело не идет, и случаи эксплуатации уязвимости в реальных атаках пока не подтверждены.
Какотметилинженер Alibaba Cloud, выпущенный Oracle патч для CVE-2018-2628 является неполным, и злоумышленники по-прежнему могут его обойти и проэксплуатировать уязвимость. Какпояснилисследователь безопасности Кевин Бьюмонт (Kevin Beaumont), производитель не исправил главную проблему, вызывающую уязвимость, а лишь добавил в черный список команды, используемые для ее эксплуатации.
