Ransomware tấn công lỗ hổng WebLogic

Cuối tháng 10, các tác nhân đe dọa đã bắt đầu quét Internet để tìm các máy chủ đang chạy những cài đặt có chứa lỗ hổng của Oracle WebLogic nhằm nỗ lực khai thác lỗ hổng CVE-2020-14882. 

Những kẻ tấn công chưa được xác thực khai thác lỗ hổng gửi một yêu cầu HTTP GET đơn giản để chiếm lấy hệ thống.

Lỗ hổng bảo mật được nhà nghiên cứu bảo mật Voidfyoo của phòng nghiên cứu bảo mật Chaitin phát hiện ra và có số điểm đánh giá mức độ nghiêm trọng là 9,8/10, ảnh hưởng tới các phiên bản của Oracle WebLogic Server: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 và 14.1.1.0 và đã được Oracle xử lý trong bản cập nhật bản vá quan trọng (Critical Patch Update - CPU) tháng này.

Vào đầu tháng 11, Oracle đưa ra một bản cập nhật bảo mật đặc biệt để xử lý một lỗ hổng thực thi mã từ xa (RCE) khác có số hiệu là CVE-2020-14882.

Renato Marinho, nhà nghiên cứu bảo mật tại Morphus Labs và trung tâm nghiên cứu bảo mật SANS (ISC) đã báo cáo rằng các honeypot (một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật) WebLogic mà ông thiết lập đã bị một số lượng các lần quét lớn nhắm vào lỗ hổng CVE-2020–14882.

Theo công bố phân tích của các chuyên gia: "Bắt đầu từ cuối tuần trước, chúng tôi đã quan sát thấy một số lượng lớn các lần quét trên các honeypot WebLogic của chúng tôi để xem có thể tấn công lỗ hổng CVE-2020–14882 hay không. CVE-2020–14882 đã được vá cách đây khoảng 2 tuần như một phần của bản cập nhật quan trọng hàng quý của Oracle. Ngoài việc quét với mục đích liệt kê các máy chủ có chứa lỗ hổng, chúng tôi thấy một số ít các lần quét bắt đầu vào thứ ngày 30/10 đang cố gắng cài đặt các công cụ khai thác tiền điện tử".

Báo cáo của Cisco Talos Quý 4/2020 tiết lộ rặng, 66% các cuộc tấn công ransomware trong quý 4 liên quan đến việc sử dụng Cobalt Strike. Vì lý do này mà các chuyên gia dự đoán rằng các tác nhân đe dọa đang khai thác lỗ hổng CVE-2020–14882 để triển khai loại phần mềm độc hại này.

Cách duy nhất để ngăn chặn các cuộc tấn công này là áp dụng các bản cập nhật bảo mật cho các cài đặt WebLogic càng sớm càng tốt.