Злоумышленники активно атакуют 0Day-уязвимость в серверах Oracle WebLogic

[RedruMZ]

Баг пока остается неисправленным.
Специалисты KnownSec 404 обнаружили уязвимость в серверах Oracle WebLogic, к которой уже активно проявляют интерес злоумышленники. Проблема затрагивает компоненты WLS9_ASYNC и WLS-WSAT – первый добавляет поддержку асинхронных операций, второй служит для обеспечения безопасности.
Речь идет об уязвимости десериализации, с помощью которой атакующий может удаленно добиться выполнения кода и перехватить контроль над целевой системой. Проблема может быть проэксплуатирована неавторизованным атакующим путем отправки специально сформированного HTTP-запроса. Уязвимости подвержены версии WebLogic 10.x и WebLogic 12.1.3.
Компании Oracle уже известно о проблеме, однако, учитывая практику производителя выпускать обновления безопасности раз в квартал и то, что на днях Oracle уже представила плановые обновления, патч следует ждать не ранее июля.
Для предотвращения атак эксперты рекомендуют либо удалить уязвимые компоненты и перезапустить серверы, либо установить настройки межсетевого экрана, предотвращающие доступ к URL “/ _async / * “и” / wls-wsat / * “в установках Oracle WebLogic.
По данным ряда ИБ-экспертов, киберпреступники пока только проводят сканирование в поисках уязвимых серверов WebLogic и используют простенькие эксплоиты для ее тестирования, однако организация полномасштабных атак – только вопрос времени, предупреждают специалисты. В настоящее время в Сети доступно более 36 тыс. уязвимых серверов WebLogic.