image

Oracle WebLogic-servers via recent lek besmet met ransomware

woensdag 1 mei 2019, 09:56 door Redactie, 6 reacties

Criminelen maken actief gebruik van een recent gedicht beveiligingslek in Oracle WebLogic Server om systemen met ransomware te infecteren. Afgelopen weekend verscheen er een noodpatch voor het beveiligingslek, waardoor aanvallers op afstand kwetsbare servers kunnen overnemen.

"Deze kwetsbaarheid is eenvoudig voor aanvallers te misbruiken, aangezien iedereen met http-toegang tot de WebLogic-server de aanval kan uitvoeren", aldus Pierre Cadieux van Cisco. Volgens Cadieux wordt de kwetsbaarheid al zeker sinds 17 april aangevallen. De noodpatch van Oracle verscheen op 26 april. De eerste fase van de aanvallen met ransomware werd op 25 april waargenomen.

Via de kwetsbaarheid kunnen aanvallers de Sodinokibi-ransomware binnen het netwerk van het slachtoffer uitrollen. Deze ransomware versleutelt allerlei bestanden. Voor het ontsleutelen van de bestanden moet een bedrag van 2500 dollar worden betaald. Wanneer het slachtoffer dit niet op tijd doet wordt het losgeld verdubbeld naar 5000 dollar. Cisco verwacht dat het WebLogic-lek op grote schaal misbruikt zal worden en adviseert organisaties om de beveiligingsupdate zo snel als mogelijk te installeren.

Image

Reacties (6)
01-05-2019, 12:21 door [Account Verwijderd]
Het gebeurt (veel) minder dan met bv. Wordpress, Drupal maar verder is dit natuurlijk vergelijkbaar qua ellende. Je zal als sitebeheerder maar net op vakantie zijn en zo'n (nood)patch niet tijdig (kunnen) installeren. Als de site dan wordt gehackt... Aaai....
01-05-2019, 12:38 door Anoniem
Zeker te druk bezig geweest met die certificering voor DoD
Door Kapitein Haddock: Je zal als sitebeheerder maar net op vakantie zijn en zo'n (nood)patch niet tijdig (kunnen) installeren.

Als je het zo ziet heb je wel wat meer problemen
01-05-2019, 13:43 door Anoniem
Door Kapitein Haddock: Het gebeurt (veel) minder dan met bv. Wordpress, Drupal maar verder is dit natuurlijk vergelijkbaar qua ellende. Je zal als sitebeheerder maar net op vakantie zijn en zo'n (nood)patch niet tijdig (kunnen) installeren. Als de site dan wordt gehackt... Aaai....
Daarom, backups.....backups....en eventueel iemand anders de site laten beheren.
01-05-2019, 15:45 door Anoniem
Door Kapitein Haddock: Het gebeurt (veel) minder dan met bv. Wordpress, Drupal maar verder is dit natuurlijk vergelijkbaar qua ellende. Je zal als sitebeheerder maar net op vakantie zijn en zo'n (nood)patch niet tijdig (kunnen) installeren. Als de site dan wordt gehackt... Aaai....
een standaard site beheerder heeft een Oracle draaien.

Door Anoniem:
Door Kapitein Haddock: Het gebeurt (veel) minder dan met bv. Wordpress, Drupal maar verder is dit natuurlijk vergelijkbaar qua ellende. Je zal als sitebeheerder maar net op vakantie zijn en zo'n (nood)patch niet tijdig (kunnen) installeren. Als de site dan wordt gehackt... Aaai....
Daarom, backups.....backups....en eventueel iemand anders de site laten beheren.
backup zijn meestal geen probleem als Oracle hebt draaien we hebben het hier over enterprise grade producten. Ik zou mij eerder zorgen maken over de rest van de infrastructuur. Immers men is al binnen op je netwerk en is al even bezig geweest
02-05-2019, 09:45 door Anoniem
Door Kapitein Haddock: Het gebeurt (veel) minder dan met bv. Wordpress, Drupal maar verder is dit natuurlijk vergelijkbaar qua ellende. Je zal als sitebeheerder maar net op vakantie zijn en zo'n (nood)patch niet tijdig (kunnen) installeren. Als de site dan wordt gehackt... Aaai....

Dit heb ik helaas ook al een keer moeten meemaken. Ik nam vakantie en 2 dagen later verscheen er een zero day blind sql injection online.. De collega die ik mijn taak tijdelijk had overgeheveld (tijdelijk had toegewezen) had niets door en toen de gegevens al buit waren gemaakt was het al te laat. Shit happens, gewoon preventief te werk gaan en heel goed opletten, denk aan een web app firewall, idps enzovoorts, software vendor mailing lists (als er dan een CVE bekend is of van de software boer zelf gewoon de zaak even eruit slopen of de service tijdelijke in maintenance mode zetten).
02-05-2019, 15:37 door Anoniem
Ze zullen gok ik al lang weten dat er een lek zat maar expres dezen er in laten zitten voor de veiligheid diensten om te gebruiken. Hopen dat iedereen snel update en een backup heeft
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.