Эксперты Unit 42 предупредили о растущем количестве атак на серверы Oracle WebLogic. Преступники эксплуатируют уязвимость CVE-2019-2725 и перехватывают контроль над атакованными системами.

Впервые об этой бреши заговорили в конце апреля, когда вирусные аналитики зафиксировали многочисленные случаи сканирования серверов Oracle WebLogic. Как выяснилось, один из программных пакетов в составе этого решения неправильно обрабатывает SOAP-запросы с определенными XML- и <class>-тегами. Это приводит к некорректной десериализации данных, что угрожает выполнением стороннего кода.

Проблема присутствует в Oracle WebLogic 10.3.6.0.0 и 12.1.3.0.0. По оценкам специалистов, эти версии установлены на десятках тысяч хостов. Разработчики Oracle оперативно выпустили экстренный патч, однако, как показывают исследования, угроза не теряет актуальность.

Так, вскоре после публикации PoC эксплойт применили операторы нового вымогателя Sodinokibi и ботнета Muhstik, который используется для криптоджекинга и DDoS-атак. Позже уязвимость легла в основу кампаний GandCrab и PowerShell-загрузчика, который устанавливает жертвам майнер XMRig. В последнем случае злоумышленники также отключают на пораженных машинах службу обновления Oracle, чтобы пользователь не смог установить безопасную версию ПО.

Аналитики ожидают, что число нападений будет только увеличиваться. Поскольку эксплойт не требует ручных операций, киберпреступники могут автоматизировать поиск и атаки новых жертв. Это также дает возможность участвовать во вредоносных кампаниях злоумышленникам без продвинутых технических навыков.

По словам экспертов, сейчас в зоне особого риска находятся корпоративные сети. Если преступники найдут точку входа в IT-инфраструктуру компании, последствия атаки могут быть катастрофическими. Специалисты призывают ИТ-службы не откладывать установку патча или хотя бы принять меры предосторожности — удалить пакет wls9_async_response.war, запретить доступ к интернет-адресам, содержащим /_async/* и /wls-wsat/*.

Категории: Главное, Уязвимости