เตือนการโจมตีบนช่องโหว่ Oracle WebLogic Server หลังโค้ด PoC เจาะระบบถูกเปิดเผย

พบการโจมตีช่องโหว่บน Oracle WebLogic Server ที่ไม่ได้ทำการอัปเดตแพตช์ด้านความมั่นคงปลอดภัยล่าสุด หลังมีนักวิจัยด้านความมั่นคงปลอดภัยหลายรายเปิดเผยโค้ด PoC สำหรับเจาะช่องโหว่ดังกล่าว เสี่ยงถูกแฮ็กเกอร์เข้าควบคุมระบบ Server แม้ไม่รู้รหัสผ่านได้

ช่องโหว่บน Oracle WebLogic Server นี้มีรหัส CVE-2018-2893 เป็นช่องโหว่บนส่วนประกอบหนึ่งของ Oracle WebLogic Middleware ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุม Server จากระยะไกลได้โดยไม่จำเป็นต้องทราบรหัสผ่าน ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Oracle WebLogic เวอร์ชัน 10.3.6.0, 12.1.3.0, 12.2.1.2 และ 12.2.1.3 มีความรุนแรงระดับ Critical และมีคะแนน CVSSv3 9.8/10 แสดงให้เห็นว่าเป็นช่องโหว่ที่โจมตีได้ง่ายและส่งผลกระทบอย่างรุนแรง

Oracle ได้ออกแพตช์เพื่ออุดช่องโหว่นี้เมื่อวันที่ 18 กรกฎาคมที่ผ่านมา โดยไม่ได้เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่เนื่องจากกลัวถูกนำไปใช้ในทางที่ผิด อย่างไรก็ตาม 3 วันหลังจากที่แพตช์ออกมา พบว่ามีโค้ด PoC สำหรับเจาะช่องโหว่ดังกล่าวถูกเผยแพร่ออนไลน์หลายแห่ง จากการตรวจสอบพบว่ามีไม่น้อยกว่า 3 รายการ ส่งผลให้แฮ็กเกอร์หรือผู้ไม่ประสงค์ดีหลายคนเริ่มนำโค้ดเหล่านี้ไปใช้โจมตี Oracle WebLogic Server ไปทั่วโลก

นักวิจัยด้านความมั่นคงปลอดภัยจาก ISC SANS และ Qihoo 360 Netlab ได้ทำการติดตามการโจมตีผ่านช่องโหว่นี้ พบว่ามีกลุ่มแฮ็กเกอร์ไม่น้อยกว่า 2 กลุ่มที่เริ่มนำระบบอัตโนมัติเข้ามาใช้โจมตีช่องโหว่ Oracle WebLogic เป็นวงกว้าง จึงแนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์ Oracle CPU ประจำเดือนกรกฎาคม 2018 โดยด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/attacks-on-oracle-weblogic-servers-detected-after-publication-of-poc-code/