Nieuwe Oracle WebLogic-kwetsbaarheid in het wild gevonden

Beveiligingsonderzoekers hebben een nieuwe zero day-kwetsbaarheid gevonden die impact heeft op de Oracle WebLogic-server. De kwetsbaarheid wordt momenteel in het wild misbruikt. Oracle is op de hoogte gesteld, maar had zijn drie maandelijkse beveiligingsupdate vier dagen voor de ontdekking ervan uitgebracht. 

Dit betekent dat er pas in juli een update komt met een oplossing voor de kwetsbaarheid, weet ZDNet. Oracle brengt namelijk maar eens in de drie maanden een beveiligingsupdate uit. In de tussentijd zijn ruim 36.000 publiekelijk toegankelijke WebLogic0servers kwetsbaar voor aanvallen. Eigenaars van de servers zullen dus tijdelijke oplossingen in moeten zetten om mogelijke aanvallen te voorkomen.

De kwetsbaarheid werd op 21 april ontdekt door KnownSec 404, het bedrijf achter ZoomEye. ZoomEye is een zoekmachine om met het internet verbonden apparaten te ontdekken. Het bedrijf stelt dat aanvallers hun pijlen op Oracle WebLogic-servers die WLS9-ASYNC- en WLS-WSAT-componenten richten. Dat eerste component biedt ondersteuning voor asynchrone server-operaties. De tweede is een beveiligingscomponent.

Een kwetsbaarheid die in deze twee componenten bestaat, kan de deserialisatie van malafide code triggeren. Daarmee kan een hacker het systeem dat hij op het oog heeft overnemen.

Aanvallen voorkomen

Om aanvallen te voorkomen, raadt KnownSec 404 aan dat bedrijven of de kwetsbare componenten verwijderen en de WebLogic-servers herstarten, of firewall-regels opzetten om te voorkomen dat er verzoeken worden gemaakt naar twee URL-paths die misbruikt worden door de aanvallen. Het gaat hierbij om /_async/* en /wls-wsat/*.

Diverse bronnen in de cybersecurity-gemeenschap zeggen tegenover ZDNet dat de aanvallers alleen scannen op WebLogic-servers en een onschuldige exploit gebruiken om de kwetsbaarheid te testen. Vooralsnog proberen ze niet om malware te plaatsen of om malafide operaties op kwetsbare hosts te draaien.

Naar alle waarschijnlijkheid verandert de activiteit op dit gebied in de aankomende weken. Hackers stoppen dan waarschijnlijk met het scannen en testen van kwetsbare servers, en schakelen over naar volledige aanvallen.