Oracle WebLogic已知RCE漏洞遭僵尸网络病毒积极锁定

安全厂商发现，Oracle WebLogic一项已知高风险漏洞遭僵尸网络病毒积极锁定，更糟的是，其中一只病毒目前已在骇客论坛上兜售。

这项漏洞为存在于WebLogic中的CVE-2020-14882。该漏洞10月已由甲骨文的季度安全更新加以修补，不过随后就有研究人员发现该漏洞已经有来自多个IP的扫描活动，可能已经遭骇客锁定。

而Juniper公司旗下Threat Labs近日利用其诱捕系统发现到，网络上至少出现5种针对CVE-2020-14882的攻击程式。其中一只名为DarkIRC的僵尸网络病毒从今年8月起，已经贴上骇客论坛，以75美元兜售。

DarkIRC被研究人员点名，是因为它技术相当高明。攻击过程是攻击程式对有漏洞的WebLogic机器发出HTTP GET呼叫后，由后者下载并执行Powershell script一个二进制档，过程中还会检查是否为VMware、VirtualBox、Vbox、QEMU或Xen等沙箱环境，如果不是才会继续执行，并释出DarkIRC。

DarkIRC释出后会以冒充Chrome的档名安装为自动执行程式。这只僵尸病毒有相当多功能，包括窃取浏览器cookies、键盘侧录、下载档案、执行指令、自动在网络上复制散布、以及分散式阻断服务（DDoS）攻击。此外它还能窃取比特币，透过变更电子钱包剪贴簿中的网域，以便把受害者的数位加密货币导向骇客控制网域的电子钱包。

这次DarkIRC攻击行动背后的操作者，是否就是对外兜售病毒的卖方，还是是从骇客论坛买下它的“客户”，研究人员则不敢断定，不过研究团队利用Shodan搜寻工具扫描，发现至少有3,109台WebLogic服务器还没有修补漏洞。一旦这些系统漏洞遭到开采，即可能成为资讯外泄、网络攻击及金钱损失的受害者，或成为DDoS攻击的帮凶。