Ransomware tấn công lỗ hổng WebLogic

Thứ ba, 17/11/2020 09:31

Có ít nhất một nhà khai thác ransomware đã khai thác lỗ hổng CVE-2020-14882 ảnh hưởng đến Oracle WebLogic đã được vá gần đây.

 Cuối tháng 10, các tác nhân đe dọa đã bắt đầu quét Internet để tìm các máy chủ đang chạy những cài đặt có chứa lỗ hổng của Oracle WebLogic nhằm nỗ lực khai thác lỗ hổng CVE-2020-14882. 

 
20201117-pg5.jpg
 
Những kẻ tấn công chưa được xác thực khai thác lỗ hổng gửi một yêu cầu HTTP GET đơn giản để chiếm lấy hệ thống.
 
Lỗ hổng bảo mật được nhà nghiên cứu bảo mật Voidfyoo của phòng nghiên cứu bảo mật Chaitin phát hiện ra và có số điểm đánh giá mức độ nghiêm trọng là 9,8/10, ảnh hưởng tới các phiên bản của Oracle WebLogic Server: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 và 14.1.1.0 và đã được Oracle xử lý trong bản cập nhật bản vá quan trọng (Critical Patch Update - CPU) tháng này.
 
Vào đầu tháng 11, Oracle đưa ra một bản cập nhật bảo mật đặc biệt để xử lý một lỗ hổng thực thi mã từ xa (RCE) khác có số hiệu là CVE-2020-14882.
 
Renato Marinho, nhà nghiên cứu bảo mật tại Morphus Labs và trung tâm nghiên cứu bảo mật SANS (ISC) đã báo cáo rằng các honeypot (một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật) WebLogic mà ông thiết lập đã bị một số lượng các lần quét lớn nhắm vào lỗ hổng CVE-2020–14882.
 
Theo công bố phân tích của các chuyên gia: "Bắt đầu từ cuối tuần trước, chúng tôi đã quan sát thấy một số lượng lớn các lần quét trên các honeypot WebLogic của chúng tôi để xem có thể tấn công lỗ hổng CVE-2020–14882 hay không. CVE-2020–14882 đã được vá cách đây khoảng 2 tuần như một phần của bản cập nhật quan trọng hàng quý của Oracle. Ngoài việc quét với mục đích liệt kê các máy chủ có chứa lỗ hổng, chúng tôi thấy một số ít các lần quét bắt đầu vào thứ ngày 30/10 đang cố gắng cài đặt các công cụ khai thác tiền điện tử".
 
Báo cáo của Cisco Talos Quý 4/2020 tiết lộ rặng, 66% các cuộc tấn công ransomware trong quý 4 liên quan đến việc sử dụng Cobalt Strike. Vì lý do này mà các chuyên gia dự đoán rằng các tác nhân đe dọa đang khai thác lỗ hổng CVE-2020–14882 để triển khai loại phần mềm độc hại này.
 
Cách duy nhất để ngăn chặn các cuộc tấn công này là áp dụng các bản cập nhật bảo mật cho các cài đặt WebLogic càng sớm càng tốt. 
banner
icon

Cổng dịch vụ công
Quốc Gia

Những thông tin thủ tục hành chính
khai báo online tại đây

Xem chi tiết icon
icon

Chính sách
pháp luật Việt Nam

Cập nhật thông tin, chính sách
pháp luật Việt Nam

Xem chi tiết icon

Cổng thông tin điện tử của các đơn vị thuộc Bộ

Doanh nghiệp

Top