Een kritieke kwetsbaarheid in Oracle WebLogic-servers wordt actief door criminelen gebruikt voor het installeren van een SSH-key en cryptominer. Dat meldt het Internet Storm Center. De kwetsbaarheid, aangeduid als CVE-2020-14882, is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Een ongeauthenticeerde aanvaller kan door het versturen van een enkel GET-request kwetsbare servers overnemen.

Op 20 oktober bracht Oracle een beveiligingsupdate voor de kwetsbaarheid uit. Die werd zo'n acht dagen later actief aangevallen. Guy Bruneau van het Internet Storm Center laat nu weten dat aanvallers bij kwetsbare WebLogic-servers een SSH authorized_key in het root-account installeren, waarmee ze op de server kunnen inloggen. Vervolgens worden er verschillende cryptominer gerelateerde applicaties geïnstalleerd die de rekenkracht van de server gebruiken voor het delven van de cryptovaluta Monero.

Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. Zo zijn kwetsbaarheden in WebLogic soms al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruikten kwetsbare servers in het verleden voor cryptomining of het installeren van ransomware. Begin dit jaar werd een andere kwetsbaarheid in WebLogic twee weken na het uitkomen van de update aangevallen.

Oracle waarschuwde begin deze week voor een nieuwe kwetsbaarheid in WebLogic-server (CVE-2020-14750) waarvoor het een noodpatch uitbracht. Dit beveiligingslek is gerelateerd aan kwetsbaarheid CVE-2020-14882. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gecompromitteerd omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om beveiligingsupdates direct te installeren en ondersteunde versies van de software te blijven gebruiken.