攻击者的目标是一个最近修复的Oracle WebLogic漏洞，该漏洞使他们能够执行自己选择的代码，其中包括使服务器成为僵尸网络一部分的恶意软件，这些僵尸网络窃取密码和其他敏感信息。

WebLogic是支持各种数据库的Java企业应用程序。WebLogic服务器是黑客梦co以求的奖励，他们经常使用它们来挖掘加密货币，安装勒索软件或作为入侵企业网络其他部分的入侵。Shodan是一项在Internet上扫描各种硬件或软件平台的服务，发现约有3,000台服务器运行中间件应用程序。

跟踪漏洞，CVE-2020-14882是Oracle在10月修补的一个严重漏洞。它使攻击者可以轻松地通过Internet执行恶意代码，而无需进行任何身份验证。甲骨文发布补丁八天后，有效的攻击代码已公开可用。

据瞻博网络研究员Paul Kimayong称，黑客正在积极使用五种不同的攻击方式来利用仍易受CVE-2020-14882攻击的服务器。其中一种变体是安装DarkIRC bot。一旦被感染，服务器将成为僵尸网络的一部分，该僵尸网络可以安装其选择的恶意软件，挖掘加密货币，窃取密码并执行拒绝服务攻击。DarkIRC恶意软件已于10月在地下市场上以75美元的价格出售，现在可能仍在出售。博士学位候选人Tolijan Trajanovski在这里有更多详细信息。

其他利用漏洞的变体会安装以下其他有效负载：

钴击

佩尔伯特

抄表器

未来

这些攻击只是针对此易于利用的漏洞的最新攻击。漏洞利用代码在网上发布的第二天，来自Sans和Rapid 7的研究人员表示，他们看到黑客试图机会性地利用CVE-2020-14882。但是，当时，攻击者实际上并不是在试图利用此漏洞来安装恶意软件，而只是在测试服务器是否易受攻击。

CVE-2020-14882影响WebLogic版本10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0.0。使用这些版本之一的任何人都应立即安装10月发行的Oracle补丁。人们还应该修补CVE-2020-14750，这是一个单独的但相关的漏洞，Oracle在发布CVE-2020-14882的补丁两周后在紧急更新中修复了该漏洞。