6月3日美國網路安全暨基礎設施安全局(CISA)針對一項7年前公布的漏洞CVE-2017-3506提出警告,指出掌握駭客已將這項漏洞用於攻擊行動的證據,他們將其納入已知遭到利用的漏洞目錄(KEV),要求聯邦機構在6月24日前完成修補。
這項弱點存在於Oracle WebLogic Server,為高風險層級的作業系統命令注入漏洞,CVSS風險評為7.4分,影響10.3.6.0、12.1.3.0、12.2.1.0、12.2.1.1、12.2.1.2等多個版本,Oracle於2017年4月進行修補。
未經身分驗證的攻擊者藉由觸發漏洞,有機會在透過HTTP網路連線入侵目標伺服器。一旦成功利用漏洞,對方就能竄改、產生、刪除伺服器上所有重要資料,或是對於資料進行完全存取。
雖然CISA並未針對駭客利用漏洞的情況說明細節,但有鑑於該漏洞已公布7年之久,網路上已有研究人員公布概念性驗證(PoC)程式碼,攻擊者若要利用漏洞,無須自行從頭分析,IT人員還是要盡速套用相關修補程式。
熱門新聞
2024-12-08
2024-12-08
2024-12-08
2024-11-29
Advertisement