Киберпреступники пытаются эксплуатировать критическую уязвимость в Oracle WebLogic, о которой стало известно после выпуска июльского комплекта обновлений. К такому выводу пришли ИБ-специалисты по результатам мониторинга сетевой активности. Эксперты говорят о как минимум двух преступных группах, сканирующих Интернет в поисках непропатченных серверов.

Уязвимость CVE-2018-2893 позволяет злоумышленнику с сетевым доступом взять под контроль устройство на базе Oracle WebLogic. Эксплуатация бага крайне проста и не требует высокой квалификации атакующего. Специалисты присвоили ошибке наивысший уровень опасности и оценили ее в 9,8 баллов по шкале CVSS.

О проблеме стало известно 18 июля, после того как разработчики системы опубликовали очередной набор патчей. Вскоре в сети появились по меньшей мере три эксплойта, демонстрирующих применение бага, а уже 21 июля специалисты зафиксировали первые попытки взлома уязвимых систем.

С тех пор активность мошенников постепенно растет — специалисты отслеживают две команды киберпреступников, сумевших автоматизировать процесс взлома. На уязвимых системах злоумышленники размещают майнер и DDoS-компонент. Эксперты также предполагают, что в результате атаки на сервер может быть установлен бэкдор.

Нападения идут на серверы под управлением Oracle WebLogic версий 10.3.6.0, 12.1.3.0, 12.2.1.2 и 12.2.1.3, чьи владельцы еще не успели применить важное обновление. Исследователи отмечают, что для эксплуатации уязвимости используется порт 7001, и рекомендуют администраторам непропатченных систем просто отключить его до установки обновления.

В конце прошлого года серверы WebLogic уже испытывали проблемы с безопасностью. Тогда исследователи сообщили о критической уязвимости CVE‑2017-10271. Несмотря на то, что баг был исправлен еще в октябре, атаки с его использованием продолжаются до сих пор.

В мае эксперты зафиксировали кампанию MassMiner, нацеленную на внедрение программного обеспечения для добычи криптовалюты, в серверы Oracle, Microsoft и Apache Struts. Чуть позже стало известно, что эксплойт включен в набор зловредов Satan, который специализируется на сетевом вымогательстве.

Категории: DoS-атаки, Вредоносные программы