美國證實7年前Oracle WebLogic Server作業系統命令注入漏洞被用於攻擊行動

6月3日美國網路安全暨基礎設施安全局（CISA）針對一項7年前公布的漏洞CVE-2017-3506提出警告，指出掌握駭客已將這項漏洞用於攻擊行動的證據，他們將其納入已知遭到利用的漏洞目錄（KEV），要求聯邦機構在6月24日前完成修補。

這項弱點存在於Oracle WebLogic Server，為高風險層級的作業系統命令注入漏洞，CVSS風險評為7.4分，影響10.3.6.0、12.1.3.0、12.2.1.0、12.2.1.1、12.2.1.2等多個版本，Oracle於2017年4月進行修補。

未經身分驗證的攻擊者藉由觸發漏洞，有機會在透過HTTP網路連線入侵目標伺服器。一旦成功利用漏洞，對方就能竄改、產生、刪除伺服器上所有重要資料，或是對於資料進行完全存取。

雖然CISA並未針對駭客利用漏洞的情況說明細節，但有鑑於該漏洞已公布7年之久，網路上已有研究人員公布概念性驗證（PoC）程式碼，攻擊者若要利用漏洞，無須自行從頭分析，IT人員還是要盡速套用相關修補程式。