TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Sans Institute ได้ออกมารายงานถึงการโจมตี Oracle WebLogic เพื่อมุ่งเน้นเจาะช่องโหว่ที่ Oracle เพิ่งออก Patch มาเมื่อเดือนเมษายน 2018 ที่ผ่านมา พร้อมทั้งยังหาทางโจมตีเจาะช่องโหว่เว็บไซต์ที่ใช้ Oracle WebLogic ด้วยวิธีการอื่นๆ เพิ่มเติมด้วย
ทาง Sans Institute นั้นพบว่าทันทีที่ Oracle ออกมาเปิดเผยถึงช่องโหว่และ Patch ของ Oracle WebLogic ในวันที่ 18 เมษายน 2018 นั้น ก็เริ่มมีการโจมตีเกิดขึ้นทันที 3 ชั่วโมงหลังจากที่มี Patch และกลายเป็นหนึ่งในการโจมตีมาตรฐานที่แทบจะเกิดขึ้นทันทีหลังจากที่มีการเปิดใช้งาน Oracle WebLogic บน IP Address ที่เข้าถึงได้โดยทั่วไป
เพื่อทำการศึกษาเพิ่มเติม Sans Institute จึงได้ทำการตั้ง Honeypot Server ขึ้นมาตรวจสอบการโจมตีนี้โดยเฉพาะ และพบว่าหลังจากที่เปิด Honeypot Server ได้เพียง 3 ชั่วโมง ระบบก็เริ่มถูกโจมตีเพื่อฝัง Crypto-mining Malware แล้ว
อย่างไรก็ดี ประเด็นนี้อาจรับมือไม่ง่ายนัก เพราะช่องโหว่ตัวปัญหาที่มีรหัส CVE-2018-2628 นี้ถึงแม้จะมี Patch ออกมาจาก Oracle แต่เมื่อปลายเดือนเมษายนที่ผ่านมา ก็มีคนออกมาระบุว่า Patch นั้นยังไม่สมบูรณ์และสามารถถูก Bypass ได้ (อ่านรายละเอียดที่ https://www.theregister.co.uk/2018/04/30/oracle_weblogic_software_patch_can_be_bypassed/) ดังนั้นถึงแม้จะ Patch แล้วก็ยังอาจถูกโจมตีได้อยู่ ดังนั้นคำแนะนำของ Sans Institute ในตอนนี้ก็คือให้ทำการจำกัดการเข้าถึงพอร์ต TCP/7001 บน Oracle WebLogic ให้ดี และเฝ้าระวังการโจมตีให้มากเป็นพิเศษ
