Aktiv utnyttelse av sårbarhet i WebLogic

Publisert: 11.01.2018

Bred utnyttelse av en sårbarhet i Oracle WebLogic Server. Dette er også observert i Norge.

NorCERT har den siste tiden mottatt informasjon om bred utnyttelse av en sårbarhet i Oracle WebLogic Server, CVE-2017-10271[1], også i Norge.

Aktiviteten er blant annet observert av SANS [2], som skriver at kampanjen utnytter CVE-2017-10271 til å kompromittere serveren og installere programvare for å grave etter cryptovaluta.

NorCERT anbefaler at virksomheten sjekker at de minimum har installert de kritiske sikkerhetsoppdateringene som ble publisert i oktober 2017[1,3].

Det er publisert kode på Github[4] som gjør det enkelt å scanne etter og utnytte CVE-2017-10271.

Sårbare versjoner[1]:

  • WebLogic Server 10.3.6.0.0
  • WebLogic Server 12.1.3.0.0
  • WebLogic Server 12.2.1.1.0
  • WebLogic Server 12.2.1.2.0

For mer informasjon om kampanjen, se [5,6].

Kilder:

  1. https://nvd.nist.gov/vuln/detail/CVE-2017-10271
  2. https://isc.sans.edu/forums/diary/A+Story+About+PeopleSoft+How+to+Make+250k+Without+Leaving+Home/23209/
  3. http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
  4. https://github.com/c0mmand3rOpSec/CVE-2017-10271
  5. https://isc.sans.edu/forums/diary/Campaign+is+using+a+recently+released+WebLogic+exploit+to+deploy+a+Monero+miner/23191/
  6. https://arstechnica.com/information-technology/2018/01/hackers-turn-weblogic-peoplesoft-servers-into-cryptocoin-miners/