Een ernstige kwetsbaarheid in Oracle WebLogic Server waardoor systemen op afstand zijn over te nemen wordt actief aangevallen. Acht dagen geleden bracht Oracle een beveiligingsupdate voor het lek uit. De kwetsbaarheid, aangeduid als CVE-2020-14882, is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld.

Een ongeauthenticeerde aanvaller kan door het versturen van een enkel GET-request de server overnemen. Volgens het Amerikaanse National Institute of Standards and Technology (NIST) gaat het om een zeer eenvoudig te misbruiken beveiligingslek. Gisteren verscheen er een analyse van de kwetsbaarheid online en niet veel later werden de eerste aanvallen waargenomen die op deze analyse zijn gebaseerd, zo meldt het Internet Storm Center.

Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. Zo zijn kwetsbaarheden in WebLogic soms al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruikten kwetsbare servers in het verleden voor cryptomining of het installeren van ransomware. Het doel van de nu waargenomen aanvallen is nog onbekend. Begin dit jaar werd een andere kwetsbaarheid in WebLogic twee weken na het uitkomen van de update aangevallen.

Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om beveiligingsupdates direct te installeren en ondersteunde versies van de software te blijven gebruiken.