Logo da.nowadaytechnol.com

WebLogic Server Zero-Day Sårbarhed Patch Udstedt, Oracle Advarsler Udnyttelse Stadig Aktiv

Indholdsfortegnelse:

WebLogic Server Zero-Day Sårbarhed Patch Udstedt, Oracle Advarsler Udnyttelse Stadig Aktiv
WebLogic Server Zero-Day Sårbarhed Patch Udstedt, Oracle Advarsler Udnyttelse Stadig Aktiv

Video: WebLogic Server Zero-Day Sårbarhed Patch Udstedt, Oracle Advarsler Udnyttelse Stadig Aktiv

Video: WebLogic Server Zero-Day Sårbarhed Patch Udstedt, Oracle Advarsler Udnyttelse Stadig Aktiv
Video: Oracle - понимание архитектуры WebLogic 2024, Marts
Anonim
Image
Image

Oracle anerkendte aktivt udnyttet sikkerhedssårbarhed på sine populære WebLogic-servere. Selvom virksomheden har udstedt programrettelse, skal brugerne tidligst opdatere deres systemer, fordi WebLogic-nul-dags-bugten i øjeblikket er under aktiv udnyttelse. Sikkerhedsfejlen er mærket med "kritisk sværhedsgrad" -niveau. Common Vulnerability Scoring System-score eller CVSS-basisscore er en alarmerende 9,8.

Oracle behandlede for nylig kritisk sårbarhed, der påvirker sine WebLogic-servere. Den kritiske WebLogic nul-dags sårbarhed truer brugernes online sikkerhed. Fejlen kan muligvis tillade fjernangriber at få fuldstændig administrativ kontrol over offeret eller målenhederne. Hvis det ikke er nok nok, kan den eksterne angriber, når den er indeni, let udføre vilkårlig kode. Implementering eller aktivering af koden kan foretages eksternt. Selvom Oracle hurtigt har udstedt programrettelse til systemet, er det op til serveradministratorerne at implementere eller installere opdateringen, da denne WebLogic-nul-dages fejl anses for at være under aktiv udnyttelse.

Security Alert-rådgiveren fra Oracle, officielt mærket som CVE-2019-2729, nævner truslen, “sårbarhed ved deserialisering viXMLDecoder i Oracle WebLogic Server Web Services. Denne sårbarhed ved eksekvering af ekstern kode kan fjernudnyttes uden godkendelse, dvs. kan udnyttes over netværket uden brug af brugernavn og adgangskode.”

Sikkerhedssårbarheden CVE-2019-2729 har opnået kritisk sværhedsgrad. CVSS-basis score på 9.8 er normalt forbeholdt de mest alvorlige og kritiske sikkerhedstrusler. Med andre ord skal WebLogic-serveradministratorer prioritere implementeringen af patch udstedt af Oracle.

Oracle WebLogic Remote Code Execution (CVE-2019-2729): https://t.co/xbfME9whWl #security pic.twitter.com/oyOyFybNfV

- F5 DevCentral (@devcentral) 25. juni 2019

for nylig gennemført undersøgelse af kinesiske KnownSec 404 Team hævder, at sikkerhedssårbarheden forfølges eller bruges aktivt. Holdet føler stærkt, at den nye udnyttelse i det væsentlige er omgåelse til patch af tidligere kendt bug officielt mærket som CVE-2019-2725. Med andre ord føler holdet, at Oracle muligvis utilsigtet har efterladt smuthul inden for den sidste programrettelse, der var beregnet til at løse tidligere opdagede sikkerhedsfejl. Oracle har imidlertid officielt præciseret, at den netop adresserede sikkerhedssårbarhed er fuldstændig uafhængig af den foregående. I blogindlæg beregnet til at tilbyde afklaring om det samme bemærkede John Heimann, VP Security Program Management, “Vær opmærksom på, at selvom problemet behandlet af denne alarm er sårbarhed ved deserialisering, som det, der er behandlet i Security Alert CVE-2019-2725, er det særskilt sårbarhed.”

Sårbarheden kan let udnyttes af en hacker med netværksadgang. Angriberen kræver kun adgang til viHTTP, en af de mest almindelige netværksveje. Angriberne har ikke brug for godkendelsesoplysninger for at udnytte sårbarheden over netværket. Udnyttelsen af sårbarheden kan potentielt resultere i overtagelse af de målrettede Oracle WebLogic-servere.

Weblogic XMLDecoder RCEstart fra CVE-2017-3506, slut ved CVE-2019-2729. Vi gør Oracle skøre, endelig bruger de WHITELIST til at ordne. pic.twitter.com/CWXN6zVAs

- pyn3rd (@ pyn3rd) 20. juni 2019

Hvilke Oracle WebLogic-servere forbliver sårbare over for CVE-2019-2729?

Uanset korrelationen eller forbindelsen til den tidligere sikkerhedsfejl rapporterede flere sikkerhedsforskere aktivt den nye WebLogic nul-dags sårbarhed over for Oracle. Ifølge forskere påvirker bugten angiveligt Oracle WebLogic Server versioner 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.

Interessant nok var der kun inden Oracle udstedte sikkerhedsrettelsen få løsninger til systemadministratorer. De, der hurtigt ville beskytte deres systemer, blev tilbudt to separate løsninger, som stadig kunne fungere:

Scenarie-1: Find og slet wls9_async_response.war, wls-wsat.war og genstart Weblogic-tjenesten. Scenarie-2: Styrer URL-adgang til stierne / _async / * og / wls-wsat / * ved hjælp af adgangspolitisk kontrol.

Sikkerhedsforskere var i stand til at opdage omkring 42.000 internet-tilgængelige WebLogic-servere. Det er overflødigt at nævne, at de fleste angribere, der ønsker at udnytte sårbarheden, er målrettet mod virksomhedsnetværk. Den primære hensigt bag angrebet ser ud til at være at droppe crypto-mining malware. Servere har nogle af de mest magtfulde computerkræfter, og sådan malware bruger diskret det samme til at udvinde kryptovaluta. Nogle rapporter tyder på, at angribere anvender malware fra Monero-mining. Angribere var endda kendt for at have brugt certifikatfiler til at skjule malware-variantens ondsindede kode. Dette er ret almindelig teknik til at undgå afsløring med anti-malware-software.

Anbefalede: