De nombreux botnets visent des milliers de serveurs Oracle WebLogic exposés publiquement, n’ayant pas encore été corrigés pour le déploiement des crypto-mineurs et le vol des données sensibles sur des systèmes infectés.

Les attaquants ciblent une faille WebLogic Server dernièrement corrigée, publiée par Oracle dans le cadre de sa mise à jour du correctif critique d’Octobre 2020, puis à nouveau en Novembre (CVE-2020-14750) sous la forme d’une sécurité hors bande. A peu près 3000 serveurs Oracle WebLogic sont accessibles sur Internet en fonction des statistiques du moteur de recherche Shodan. La faille référencée CVE-2020-14882 (ayant un score CVSS de 9.8/10) affecte les versions de WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0.

D’après Juniper Threat Labs, les opérateurs du botnet DarkIRC exploitent cette faille RCE pour une propagation latérale sur le réseau, téléchargement des fichiers, enregistrement des frappes au clavier, vol de données d’identification et exécution de commandes arbitraires sur des machines compromises.

Qui plus est, un pirate appelé « Freak OG » vend le malware DarkIRC actuellement sur les forums de piratage pour la modique somme de 75 dollars depuis Août 2020. Il est conseillé aux utilisateurs d’appliquer la mise à jour du correctif critique d’Octobre 2020 ainsi que les mises à jour associés à CVE-2020-14750 le plus rapidement possible afin d’atténuer les risques qui peuvent découler de ce bug.

Oracle a aussi partagé des instructions ayant pour but de renforcer les serveurs en empêchant l’accès externe aux applications internes accessibles sur le port d’administration.