'Maak snelheid met installatie van WebLogic patch'

Security experts adviseren IT-beheerders snelheid te maken met het installeren van Oracle patches. Sinds het openbaar maken van details over de kwetsbaarheid CVE-2018-2628 in WebLogic blijkt dit beveiligingslek namelijk flink meer te worden misbruikt.

Hiervoor waarschuwt het SANS Institute. Oracle maakte op 18 april bekend dat WebLogic een kwetsbaarheid bevat die het mogelijk maakt op afstand code uit te voeren op getroffen systemen. Het beveiligingsprobleem is verholpen met behulp van een patch. Lang niet alle IT-beheerders installeren patches echter altijd direct. Dit is een probleem, aangezien de tijd die aanvallers nodig hebben om nieuwe kwetsbaarheden te misbruiken steeds korter wordt.

Honeypot

Zo geeft het SANS Institute stelt dat het aantal aanvallen waarbij CVE-2018-2628 wordt misbruikt vrijwel direct na het vrijgeven van de patch een vlucht heeft genomen. Onderzoekers van SANS hebben een honeypot - een server speciaal geprepareerd om aanvallers te lokken en informatie over hen te verzamelen - opgezet om het misbruik van het lek in kaart te brengen. Deze honeypot werd slechts drie uur nadat deze online werd geplaatst al aangevallen. Hierbij probeerde een aanvaller cryptomining malware te installeren en draaien.

Het instituut adviseert IT-beheerders daarom de patch van Oracle zo snel mogelijk te installeren om het beveiligingsprobleem te verhelpen. Renato Marinho, een onderzoeker van het SANS Institute, wijst er echter op dat het mogelijk lijkt deze patch te omzeilen en de kwetsbaarheid ook op volledig up-to-date servers uit te buiten. Om dit te voorkomen adviseert Marinho bedrijven de toegang tot de TCP 7001 poort op WebLogic servers zo snel mogelijk te blokkeren.