Alert!

Jetzt patchen! Exploit für Oracle WebLogic im Ausverkauf für 75 US-Dollar

Eine kritische Sicherheitslücke in WebLogic-Servern sorgt erneut für Unruhe. Patches sind schon länger verfügbar.

In Pocket speichern vorlesen Druckansicht

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 2 Min.

Angreifer haben es erneut auf Oracles Java-EE-Anwendungsserver WebLogic abgesehen und attackieren gezielt verwundbare Server. Als Einfallstor dient eine "kritische" Sicherheitslücke (CVE-2020-14882), über die Angreifer Schadcode auf Systeme schieben und ausführen können.

Juniper Networks warnt in einem Beitrag vor weltweit mehr als 3000 verwundbaren Servern. Darunter sind 133 in Deutschland online. Als Dreh- und Angelpunkt der Attacken haben sie das Botnetz DarkIRC identifiziert. Das soll gefährdete Server mit einer HTTP-GET-Anfrage anfunken und dann über ein Powershell-Skript Schadcode auf die Server laden.

Anschließend machen sich der Angreifer-Code in Form von beispielsweise DDoS-Komponenten, Keyloggern und Bitcoin Stealern breit. Dem Bericht der Sicherheitsforscher zufolge könnte sich der Schadcode wurmartig verbreiten und so ganze Netzwerke infizieren.

Juniper Networks berichtet, dass Kriminelle die Dienste des Botnetzes in einem Hacker-Forum für 75 US-Dollar in Anspruch nehmen können. Unklar ist derzeit, ob die Verkäufer auch hinter den Attacken stehen.

Betroffen sind die WebLogic-Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0. Sicherheitspatches hat Oracle im Rahmen seines vierten Quartalsupdate 2020 veröffentlicht. In einem Beitrag führt Oracle aus, wie Admins WebLogic-Server weiter absichern können.

Bereits Ende Oktober warnten Sicherheitsforscher des SANS Internet Strom Center (ISC) vor Attacken, die sich vergleichsweise trivial ausführen lassen. Das soll direkt über das Internet und ohne Authentifizierung möglich sein.

(des)