Oracle WebLogic Server遭入侵!开采植入勒索软件、挖矿程序

甲骨文本周发布关于一项位于Oracle WebLogic Server的零时差漏洞公告，网络上已经有攻击开采这项漏洞，在服务器内植入挖矿程序与勒索软件，呼吁用户尽速安装修补程序。代号为CVE-2019-2725的漏洞是位于Oracle WebLogic Server的反序列漏洞（deserialization vulnerability），一经开采可在无需验证用户身份及密码情况下，远程在WebLogic服务器软件上执行恶意代码。受影响的产品包括Oracle WebLogic Server 10.3.6.0及12.1.3.0版本。

思科旗下Talos Labs首先发现本漏洞遭到开采，名为Sodinokibi的勒索软件植入WebLogic软件后加密用户系统目录并删除备份文件。有企业4月25日遭到感染，不过思科研断，这个勒索软件早在4月17日就开始频繁活动。同一时间，SANS Institute诱捕系统也发现在WebLogic服务器上植入加密货币挖矿程序的攻击行为。SANS Institute认为，WebLogic的设计问题使它特别容易出现反串行化漏洞。思科则指出，只要以HTTP联机存取WebLogic 服务器就能轻易开采CVE-2019-2725，也让它被认为是高风险漏洞，CVSS score达 9.8（满分10分）。内文来源：sbf胜博网址 tpmanager.org.tw/

漏洞的高风险以及多起开采事件，迫使甲骨文4月26日释出例外修补程序，修补Database、Fusion Middleware、Oracle Enterprise Manager等产品。在安全公告中，甲骨文建议用户应及早规画更新。此外甲骨文也提醒，该公司只测试了涵括在付费支持或外延支持计划下的产品，但较早期版本也可能也受影响，建议用户升级到支持版本。