Oracle випустила позапланове оновлення, що виправляє критичну уразливість в WebLogic Server.
Уразливість отримала ідентифікатор CVE-2020-14750 і оцінку 9,8 бали з максимальних 10 за шкалою оцінювання небезпеки уразливостей CVSS. Проблема пов’язана з іншою вразливістю в WebLogic Server ( CVE-2020-14882 ), виправленої минулого місяця і дуже проста в експлуатації.
Атаки з використанням CVE-2020-14882 почалися минулого тижня після того, як в’єтнамський розробник опублікував PoC-експлоїт. Коли дослідники безпеки виявили , що патч для уразливості можна легко обійти, їй було присвоєно ідентифікатор CVE-2020-14750.
“Це повідомлення безпеки виправляє CVE-2020-14750, уразливість віддаленого виконання коду в WebLogic Server. […] Вона легко експлуатується без аутентифікації, тобто, може бути проексплуатована в мережі без необхідності введення логіна і пароля”, – повідомляється в повідомленні безпеки Oracle.
Уразливість зачіпає версії WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 і 14.1.1.0.0. Для її експлуатації у атакуючого повинен бути доступ до мережі по HTTP. Успішна експлуатація уразливості може дозволити зловмиснику отримати повний контроль над Oracle WebLogic.
Як повідомляють фахівці чеської ІБ-компанії Cybersecurity Help, уразливість існує через недостатню перевірку автентичності вхідних даних. Зловмисник може відправити особливим чином конфігурований запит, виконати довільний код і в підсумку скомпрометувати уразливу систему.
Сама Oracle не розкриває подробиць про проблему, але попереджає, що експлойт для неї вже доступний в Мережі. У зв’язку з цим рекомендується якомога швидше встановити оновлення.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Фішингові листи: розпізнаємо шахрайство на реальному прикладі
Як вимкнути веб-камеру та мікрофон у Zoom? – ІНСТРУКЦІЯ
Як змінити ім’я користувача у Twitter? – ІНСТРУКЦІЯ
Як виявити шахрайство з технічною підтримкою та уникнути його? Поради
Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ
Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ
Нагадаємо, оператор платіжної системи Mastercard готує до пробних випробувань банківську карту F.CODE Easy, що використовує відбитки пальців для підтвердження прав на транзакцію в платіжних терміналах магазинів.
Також з’явився мобільний додаток доповненої реальності #PrisonersVoice, який привертає увагу міжнародної спільноти до українських бранців Кремля та до системного порушення Російською Федерацією прав людини загалом.
До речі, експерт з інтернет-безпеки, “білий хакер” із Нідерландів Віктор Геверс, відомий тим, що зміг зайти на екаунт президента США Дональда Трампа в 2016 році, повторив свій “успіх” в 2020 році.
Окрім цього, кіберзлочинне угруповання викрало понад 3 Тб приватних відео та розмістило їх на сайтах для дорослих. Серед викладених матеріалів були як відверто інтимні, так і цілком буденні. Зловмисники отримали доступ до понад 50 тисяч особистих IP-камер, що дозволило зібрати колекцію відеоматеріалів.
А 30-річний житель Івано-Франківщини створив веб-сайти, де на платній основі надавав доступ до перегляду фільмів. Засновник онлайн-кінотеатрів не мав дозволів від правовласників на розповсюдження їхніх творів та порушив авторські права двох іноземних кінокомпаній.