Oracle Weblogic -palvelinohjelmiston kriittistä haavoittuvuutta hyväksikäytetään tietomurroissa

Tietoturva Nyt!

Maailmalta kerättyjen uutisten perusteella Oraclen Weblogic -palvelinohjelmistossa olevaa kriittistä haavoittuvuutta CVE-2019-2725 käytetään laajasti ja vaihtelevasti erilaisiin vääryyksiin. Oracle on julkaissut haavoittuvuuteen normaalin päivityssyklin ulkopuolella hätäpäivityksen, ja Kyberturvallisuuskeskus suosittelee vahvasti päivityksen asentamista ensi tilassa.

Oracle Weblogic -palvelinohjelmistosta löydettiin haavoittuvuus tunnisteella CVE-2019-2725, jonka kautta tunnistautumaton käyttäjä pystyy suorittamaan kohdejärjestelmässä mielivaltaisia komentoja. Komentojen kautta hyökkääjä pystyy siis ottamaan koko palvelimen haltuunsa ohjelmistolle annettujen käyttöoikeuksien puitteissa. Oracle julkisti haavoittuvuutta korjaamaan kriittisen päivityksen päivityssyklin ulkopuolella 26.4.2019, ja päivitys todennetusti korjaa haavoittuvuuden. Haavoittuvuudesta ja päivityksestä on tiedotettu jo aiemmin, mutta useiden eri tahojen havaintojen mukaan haavoittuvuutta käytetään laajasti Weblogic-instansseja vastaan ja niissä suoritetaan mitä moninaisimpia komentoja hyökkääjien toimesta.

Kyberturvallisuuskeskuksen erittäin vahva suositus on tarkastaa käytössä olevat Weblogic-ympäristöt ja selvittää, onko niihin onnistuttu jo tunkeutumaan. Korjaava päivitys tulisi tehdä ensi tilassa normaalien huoltokatkosyklien ulkopuolella, jotta organisaatioiden tietoturva ei pääse vaarantumaan. Kyberturvallisuuskeskuksella ei toistaiseksi ole havaintoja Suomessa toimivien organisaatoiden ympäristöjen murtamisista tai väärinkäytöksistä haavoittuvuutta käyttämällä, ja rohkaisemmekin ilmoittamaan meille kaikista havainnoista (sekä onnistuneista että epäonnistuneista) tapaukseen liittyen.