Oracle waarschuwt dat een lek in WebLogic Server dat inmiddels gepatcht is actief wordt misbruikt. Door het lek uit te buiten is het mogelijk om bijvoorbeeld cryptomalware of ransomware uit te rollen op een server.
Oracle waarschuwt in een patch-update dat WebLogic-servers actief worden aangevallen. Het is niet bekend om hoeveel aanvallen het gaat en op wat voor soort servers die worden uitgevoerd. Wereldwijd zijn er tienduizenden servers die de software draaien.
Oracle heeft halverwege april een patch doorgevoerd. Die was onder meer voor kwetsbaarheid CVE-2020-2883. Die kwetsbaarheid zat in versies 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 en 12.2.1.4.0 van de WebLogic Server. Oracle repareerde het lek, dat een kwetsbaarheidscore van 9,8 op een schaal tot 10 kreeg, nadat Trend Micro dat had ontdekt. Veel serverbeheerders hebben de patch dus nog niet doorgevoerd. Inmiddels staat wel een proof of concept van de bug online.
Aanvallers kunnen het lek uitbuiten door een geïnfecteerde payload via Oracles eigen T3-protocol te sturen. De aanval vindt plaats op het moment dat de server de payload uitpakt. Volgens Oracle is geen interactie van de gebruiker nodig om het lek uit te buiten. Daardoor kunnen hackers een systeem overnemen.
Oracle waarschuwt dat het lek kan worden misbruikt om malware te versturen, zoals ransomware of cryptojackers. Omdat er geen gebruikersinteractie nodig is zou het ook mogelijk zijn om dergelijke servers geautomatiseerd in botnets op te nemen.
WebLogic Server is in het verleden vaker aangevallen. Oracle waarschuwt bedrijven hun software zo snel mogelijk up-to-date te brengen.