Duizenden Oracle WebLogic-servers kwetsbaar door nieuw lek
Tienduizenden Oracle WebLogic-servers zijn kwetsbaar door een nieuw beveiligingslek waarvoor nog geen update beschikbaar is. Via de kwetsbaarheid kan een aanvaller op afstand code op de server uitvoeren, zo laat de China National Vulnerability Database weten.
Oracle WebLogic, een populaire Java-applicatieserver, is een geliefd doelwit van cybercriminelen. Vorig jaar werd een Oracle WebLogic-lek al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruiken kwetsbare servers voor cryptomining of installeren ransomware. In het geval van de huidige kwetsbaarheid is er nog geen beveiligingsupdate door Oracle uitgerold. Securitybedrijf F5 Labs meldt op Twitter dat er al aanvallen zijn waargenomen die van het nieuwe beveiligingslek misbruik maken, maar dit is nog niet door andere partijen bevestigd.
Beheerders van een Oracle WebLogic-server kunnen in afwachting van een beveiligingsupdate de bestanden wls9_async_response.war en wls-wsat.war verwijderen en de WebLogic-service herstarten. Een andere optie is toegang tot de /_async/* en /wls-wsat/* paden te beperken, aldus securitybedrijf KnowSec. Volgens het bedrijf zijn er zo'n 36.000 kwetsbare servers op internet te vinden.
Oracle komt vier keer per jaar met beveiligingsupdates. De volgende patchronde staat gepland voor 16 juli. Of het softwarebedrijf vanwege het nu onthulde lek met een noodpatch komt is nog onbekend.
WTF? &&!@#$%^*&(!@!
Als de bliksem aan de slag hiermee Oracle!
WTF? &&!@#$%^*&(!@!
Als de bliksem aan de slag hiermee Oracle!
Hier zullen ze bang van worden.
WTF? &&!@#$%^*&(!@!
Als de bliksem aan de slag hiermee Oracle!
Hier zullen ze bang van worden.
Duizend bommen en granaten! Als dat niet genoeg is...
WTF? &&!@#$%^*&(!@!
Als de bliksem aan de slag hiermee Oracle!
Hier zullen ze bang van worden.
Duizend bommen en granaten! Als dat niet genoeg is...
Jawel! De patch is net publiek gemaakt!
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
Goed te zien dat er nog bedrijven zijn die wél direct hun verantwoordelijkheid nemen!
WTF? &&!@#$%^*&(!@!
Als de bliksem aan de slag hiermee Oracle!
Hier zullen ze bang van worden.
Duizend bommen en granaten! Als dat niet genoeg is...
Jawel! De patch is net publiek gemaakt!
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
Goed te zien dat er nog bedrijven zijn die wél direct hun verantwoordelijkheid nemen!
Maar zou de CNVD de kwetsbaarheid meteen bekend hebben gemaakt, of hebben ze Oracle een x aantal dagen de tijd gegeven om een patch uit te brengen en is Oracle door die termijn heen gegaan?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
