甲骨文本周发布关于一项位于Oracle WebLogic Server的零时差漏洞公告,网络上已经有攻击开采这项漏洞,在服务器内植入挖矿程序与勒索软件,呼吁用户尽快安装修补程序。
代号为CVE-2019-2725的漏洞是位于Oracle WebLogic Server的反串行漏洞(deserialization vulnerability),一经开采可在无需验证用户身份及密码情况下,远程在WebLogic服务器软件上执行恶意程序代码。受影响的产品包括Oracle WebLogic Server 10.3.6.0及12.1.3.0版本。
思科旗下Talos Labs首先发现本漏洞遭到开采,名为Sodinokibi的勒索软件植入WebLogic软件后加密用户系统目录并删除备份档。有企业4月25日遭到感染,不过思科研断,这个勒索软件早在4月17日就开始频繁活动。
同一时间,SANS Institute诱捕系统也发现在WebLogic服务器上植入加密货币挖矿程序的攻击行为。
SANS Institute认为,WebLogic的设计问题使它特别容易出现反串行化漏洞。思科则指出,只要以HTTP连接访问WebLogic服务器就能轻易开采CVE-2019-2725,也让它被认为是高风险漏洞,CVSS score达9.8(满分10分)。
漏洞的高风险以及多起开采事件,迫使甲骨文4月26日发布例外修补程序,修补Database、Fusion Middleware、Oracle Enterprise Manager等产品。在安全公告中,甲骨文建议用户应尽早规划更新。
此外甲骨文也提醒,该公司只测试了涵盖在付费支持或延伸支持计划下的产品,但较早期版本也可能也受影响,建议用户升级到支持版本。