Patch Now: DarkIRC Botnet กำลังใช้ประโยชน์จากช่องโหว่ CVE-2020-14750 (RCE) เพื่อโจมตี Oracle WebLogic Server

นักวิจัยด้านความปลอดภัยจาก Juniper Threat Labs ได้เปิดเผยถึงเป้าหมายการโจมตีของบอตเน็ต DarkIRC ที่กำลังพยายามสแกนหาและใช้ประโยชน์จากช่องโหว่ CVE-2020-14750 (Remote Code Execution - RCE) ในเซิร์ฟเวอร์ Oracle WebLogic ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตและยังไม่ได้รับการแพตช์เพื่อแก้ไขช่องโหว่

ตามรายงานจากนักวิจัยด้านความปลอดภัยที่ได้ทำการตรวจสอบเซิร์ฟเวอร์ Oracle WebLogic จากเครื่องมือค้นหาของ Shodan พบว่ามีเซิร์ฟเวอร์ Oracle WebLogic ประมาณ 3,000 เครื่องที่สามารถเข้าถึงได้บนอินเทอร์เน็ต

ช่องโหว่ CVE-2020-14750 (RCE) ในเซิร์ฟเวอร์ Oracle WebLogic เป็นช่องโหว่ที่สำคัญและมีความรุนเเรงจากคะแนน CVSSv3 อยู่ที่ 9.8/10 โดยช่องโหว่ช่วยให้ผู้โจมตีสามารถควบคุมระบบได้โดยการส่ง HTTP request ที่สร้างขึ้นมาเป็นพิเศษและไม่มีการตรวจสอบสิทธิ์ไปยังเซิร์ฟเวอร์ Oracle WebLogic เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0

นักวิจัยกล่าวว่าบอตเน็ต DarkIRC ทำกำหนดเป้าหมายไปยังเครือข่ายของเซิร์ฟเวอร์ Oracle WebLogic ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยเมื่อบุกรุกได้แล้วจะทำการดาวน์โหลดไฟล์เพื่อขโมยข้อมูลภายในเครื่อง, Keylogger, ขโมยข้อมูล Credential และจะสั่งรัน Command บนเครื่องที่ถูกบุกรุกและทำการส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ C&C ของผู้ประสงค์ร้าย นอกจากนี้บอตเน็ตยังมีฟีเจอร์ที่จะทำการเปลื่ยนที่อยู่ Bitcoin wallet ที่อยู่ภายในเครื่องไปยังที่อยู่ Bitcoin wallet ของผู้ประสงค์ร้าย ทั้งนี้บอตเน็ต DarkIRC ถูกผู้ใช้ที่ชื่อ "Freak_OG" ทำการวางขายบอตเน็ตในแฮ็กฟอรัม โดยราคาขายอยู่ที่ $75 (ประมาณ 2,259 บาท) ตั้งแต่เดือนสิงหาคมที่ผ่านมา

ผู้ดูแลระบบเซิร์ฟเวอร์ Oracle WebLogic ควรทำการอัปเดตเเพตซ์ความปลอดภัยเป็นการเร่งด่วนและควรทำการปิดการเข้าถึงเซิฟเวอร์จากอินเตอร์เน็ตเพื่อเป็นการป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: thehackernews