安全研究人员发现了一个新的零时差漏洞，该漏洞会影响目前正普遍针对的Oracle WebLogic Server。

甲骨文已收到零日通知，但该软件制造商刚刚在发现零日之前四天发布了季度安全补丁。

因为该公司每三个月发布一次安全更新，所以要解决此问题的更新不会再发布三个月，直到七月。

同时，超过36,000台可公开访问的WebLogic服务器将仍然容易受到攻击，服务器所有者将必须部署变通办法来应对任何可能的漏洞。

零日

零时差最早是在4月21日(星期日)由KnowZe 404发现的。

该公司表示，攻击者的目标是运行WLS9_ASYNC和WLS-WSAT组件的Oracle WebLogic服务器。第一个组件添加了对服务器异步操作的支持，而第二个组件则是服务器的安全组件。

这两个漏洞中存在一个漏洞，可以触发对恶意代码的反序列化，从而使黑客可以接管目标系统。

为了防止攻击，KnownSec 404建议公司要么删除易受攻击的组件并重新启动其WebLogic服务器，要么将防火墙规则放在适当的位置，以防止对攻击所利用的两个URL路径发出请求(/ _async / *和/ wls-wsat / *)。

只扫描，不剥削

网络安全社区中的一些消息来源告诉ZDNet，攻击者仅在扫描WebLogic服务器并使用良性漏洞来测试漏洞，但他们尚未尝试删除恶意软件或在易受攻击的主机上运行恶意操作。

这些攻击的其他确认也来自Waratek和F5 Labs等公共资源。

未来几周，这方面的活动必将发生变化，黑客将从扫描和探测易受攻击的服务器转向全面攻击。

历史证明，WebLogic服务器是当今黑客最追捧的服务器。

例如，一个黑客组织在2017年底利用Oracle WebLogic的另一个漏洞CVE-2017-10271 创造了价值226,000美元的门罗币，这也影响了WSL-WSAT组件。

还发现了针对CVE-2018-2628和CVE-2018-2893的另一种攻击，这是另一套Oracle WebLogic缺陷。

在过去的一年半中，Oracle WebLogic服务器不断成为攻击的目标，特别是从事加密采矿业务的犯罪集团。最重要的是，CVE-2017-10271仍然是他们最喜欢的漏洞利用之一。

这是因为Oracle WebLogic服务器通常可以访问大量资源，而且还因为它们非常受欢迎，这使得它们易于查找，并且是任何黑客的主要攻击目标。

此外，由于WebLogic服务器通常部署在企业网络中或用于运行Intranet或其他面向公众的企业应用程序，因此WebLogic Server的任何损害都很容易变成灾难性的黑客，入侵者可以访问大量对业务敏感的信息。

更新，4月26日：今天，Oracle发布了一个罕见的带外安全更新来解决此漏洞，该更新已分配给CVE-2019-2725标识符。建议Oracle WebLogix服务器所有者尽快修补。