Hacker nützen schwere Sicherheitslücke in Oracle Weblogic

Mitte April haben chinesische Security-Forscher eine von ihnen entdeckte Sicherheitslücke in Oracles Weblogic Server beschrieben. Am 26. April hat Oracle ausserhalb seines normalen Update-Zyklus einen Patch (Link nur für Oracle-Kunden mit Login zugänglich) dafür veröffentlicht.
 
Dieser sollte auch dringend eingespielt werden, wie der Security-Dienstleister Alert Logic warnt. In den letzten Tagen habe man reale Angriffsversuche auf diese Lücke festgestellt.
 
Dier Lücke, die alle Weblogic-Versionen betrifft, in denen die Komponenten "wls9_async_response.war" und "wls-wsat.war" aktiviert sind, erlaubt es Angreifern ohne Passwort oder Username in Systeme einzudringen. Sie können eigene Software hochladen und sich auch lateral weiter durch ein Netzwerk weiter vorarbeiten.
 
Wie Talos erklärt, ist seit Mitte April auch ein Versuch im Gang, via diese Lücke automatisiert eine Ransomware namens "Sodinokibi" auf verwundbaren und über das Internet erreichbaren Servern zu installieren. Wie Talos betont wird diese Ransomware also nicht wie üblich mit Phishing-Mails verschickt. Sie kann bei Opfern, welche ihre Weblogic-Server nicht gepatcht haben, ohne deren Zutun installiert werden. (hjm)