حملات به سرورها پس از انتشار کد اثبات مفهومی

به گزارش کارگروه امنیت سایبربان؛ باگ امنیتی دارای شناسه CVE-۲۰۱۸-۲۸۹۳ و مربوط به یک آسیب‌پذیری در یک مولفه از میان افزار Oracle WebLogic است که به مهاجم اجازه می‌دهد کنترل کامل سرور را بدون نیاز به دانستن رمزعبور در اختیار داشته باشد. لازم به ذکر است که بدلیل قابلیت بهره برداری با دسترسی از راه دور و سهولت بهره برداری، این آسیب‌پذیری در درجه حساسیت بحرانی رده بندی شده است و نمره CVSv۳ ۹,۸ را به خود اختصاص داده است.
جزئیات مربوط به این آسیب‌پذیری هرگز به صورت عمومی منتشر نشد و وصله های آن توسط Oracle در هفته گذشته در روز ۱۸ جولای (۲۷ تیر) منتشر شد. اما سه روز پس از انتشار وصله ها، چندین کد اثبات مفهومی (PoC) مربوط به اکسپلویت های این آسیب‌پذیری، بصورت آنلاین توسط افراد مختلفی منتشر شد. سه مورد از این PoCها شناسایی شدند که دو مورد آن هنوز در دسترس هستند و یک مورد پس از انتشار در گیت هاب، پس از کمتر از یک روز حذف شد.
با انتشار خبر در دسترس بودن PoCها در شبکه های اجتماعی، موجی از حملات در روز شنبه ۲۱ جولای (۳۰ تیر) آغاز شد که به آرامی در حال افزایش است. 
بنابراین، به صاحبان سرورها توصیه می شود که بروزرسانی های منتشر شده در جولای ۲۰۱۸ توسط Oracle و به ویژه وصله های مربوط به  CVE-۲۰۱۸-۲۸۹۳را در اسرع وقت اعمال کنند. سرورهای Oracle WebLogic که نسخه های ۱۰,۳.۶.۰، ۱۲.۱.۳.۰، ۱۲.۲.۱.۲ و ۱۲.۲.۱.۳ را اجرا می کنند، آسیب‌پذیر هستند و نیاز به اعمال وصله های امنیتی دارند. مهاجمین در حال بهره‌برداری این نقص از طریق پورت ۷۰۰۱ هستند، از این رو صاحبان وب‌سایت ها می‌توانند تا زمانی که وصله ها را اعمال نکرده‌اند، دسترسی خارجی به این پورت را در شبکه داخلی خود قطع کنند.
حمله به سرورهای Oracle WebLogic در گذشته نیز انجام شده است. مهاجمین در گذشته با بهره برداری از CVE-۲۰۱۷-۱۰۲۷۱، از سرورها برای کاوش ارزدیجیتالی استفاده کردند که توانستند ۲۲۶۰۰۰ دلار درآمدزایی کنند. همچنین، هکرها با استفاده از آسیب‌پذیری CVE-۲۰۱۸-۲۶۲۸، بار دیگر بهWebLogic  نفوذ کردند. مقاصد اصلی این نفوذ نیز استخراج ارز دیجیتالی بود که در حال حاضر هم این تهدید وجود دارد.