Beheerders van Oracle-systemen hebben zeer weinig tijd om beveiligingsupdates uit te rollen, zo blijkt uit aanvallen die misbruik van een recent gepatcht WebLogic-lek maken. Op 17 april kwam Oracle met een beveiligingsupdate voor een zeer ernstige kwetsbaarheid in Oracle WebLogic Server.

Via de kwetsbaarheid kan een aanvaller op afstand en zonder authenticatie volledige controle over het systeem krijgen. Op 18 april, nog geen dag na het uitkomen van de patch, werd de eerste WebLogic-server al gehackt. Een dag later op 19 april verscheen er een publieke proof-of-concept exploit die misbruik van de kwetsbaarheid maakt. Het lek werd echter al voor het verschijnen van de publieke exploit aangevallen, zo laat het Internet Storm Center (ISC) weten.

De publieke exploit zorgde er wel voor dat het aantal scans naar kwetsbare WebLogic-servers op poort 7001 sterk toenam. De aanvallers zoeken kwetsbare WebLogic-servers om die na een succesvolle aanval voor cryptomining in te zetten. Het ISC heeft 447 gehackte WebLogic-servers geteld en het aantal loopt nog altijd op. Inmiddels is ook bekend geworden dat de beveiligingsupdate die Oracle voor het WebLogic-lek ontwikkelde niet volledig is, waardoor ook gepatchte servers risico lopen. Er zijn echter nog geen aanvallen waargenomen die de patch omzeilen.

"Het lijkt erop dat de tijd tussen het aankondigen van een kwetsbaarheid en opportunistisch misbruik steeds kleiner wordt. Uit dit voorval wordt duidelijk dat beheerders die niet snel kunnen patchen, veel meer tijd nodig zullen hebben om een beveiligingsincident te verhelpen", zegt ISC-handler Renato Marinho. Ook Oracle stelt dat het geregeld berichten ontvangt over systemen die zijn gehackt omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. In het geval van WebLogic krijgen beheerders het advies om, in afwachting van een nieuwe patch toegang tot tcp-poort 7001 te beperken.