Cơ quan An ninh mạng và Cơ sở Hạ tầng Hoa Kỳ (CISA) vừa cảnh báo về lỗ hổng CVE-2024-21182 trong Oracle WebLogic Server đang bị khai thác trong thực tế. Đây là dấu hiệu cho thấy hệ thống của các tổ chức sử dụng Oracle WebLogic đang đứng trước nguy cơ được sử dụng trong các chiến dịch tấn công. CISA yêu cầu các cơ quan phải triển khai biện pháp khắc phục bắt buộc theo thời hạn quy định.
Oracle WebLogic Server là nền tảng ứng dụng Java được triển khai rộng rãi trong các hệ thống doanh nghiệp lớn, đóng vai trò xử lý các dịch vụ trung gian giữa người dùng, ứng dụng và cơ sở dữ liệu.
Theo đó, CVE-2024-21182 là một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa hoặc truy cập trái phép mà không cần xác thực, kẻ tấn công không cần tài khoản hợp lệ vẫn có thể gửi yêu cầu qua mạng để khai thác hệ thống. Đáng lưu ý, cơ chế kiểm soát truy cập của WebLogic có thể bị vượt qua nếu dịch vụ bị cấu hình sai hoặc để lộ ra môi trường Internet.
Nếu bị khai thác thành công, kẻ tấn công có thể chiếm quyền điều khiển WebLogic, truy cập dữ liệu nhạy cảm và cài mã độc để duy trì truy cập lâu dài trong hệ thống. Trong nhiều kịch bản thực tế, WebLogic không phải đích cuối cùng mà chỉ đóng vai trò điểm truy cập ban đầu, sau đó bị lợi dụng để mở rộng tấn công sang các máy chủ khác trong mạng nội bộ thông qua kỹ thuật di chuyển ngang, làm gia tăng đáng kể phạm vi ảnh hưởng.
CISA cho biết việc đưa CVE-2024-21182 vào danh sách các lỗ hổng đang bị khai thác trong thực tế là dựa trên bằng chứng tấn công đã được ghi nhận. Tuy nhiên, hiện chưa có thông tin công khai về nhóm tấn công hay chiến dịch cụ thể liên quan đến hoạt động khai thác này. Điều này cho thấy lỗ hổng đang được sử dụng trong môi trường thực, nhưng mức độ lan rộng và chủ thể đứng sau vẫn chưa được xác định rõ.
Trước nguy cơ lỗ hổng đang bị khai thác trong thực tế, chuyên gia khuyến cáo các tổ chức, doanh nghiệp cần nhanh chóng cập nhật bản vá để tránh các rủi ro đáng tiếc.