Orakel
Oracle erkände aktivt utnyttjad säkerhetsproblem i sina populära och allmänt distribuerade WebLogic-servrar. Även om företaget har utfärdat en korrigeringsfil, måste användarna uppdatera sina system tidigast eftersom WebLogic-nolldagarsfelet för närvarande utnyttjas aktivt. Säkerhetsfelet har taggats med ”kritisk svårighetsgrad”. Common Vulnerability Scoring System-poäng eller CVSS-baspoäng är en alarmerande 9,8.
Orakel nyligen behandlat en kritisk sårbarhet som påverkar dess WebLogic-servrar. Den kritiska WebLogic-nolldagens sårbarheten hotar användarnas online-säkerhet. Felet kan potentiellt tillåta en fjärranfallare att få fullständig administrativ kontroll av offret eller målenheterna. Om det inte räcker tillräckligt kan fjärrangriparen, när den är inne, enkelt köra godtycklig kod. Distribution eller aktivering av koden kan göras på distans. Även om Oracle snabbt har utfärdat en korrigeringsfil för systemet är det upp till serveradministratörerna att distribuera eller installera uppdateringen eftersom detta WebLogic-nolldagarsfel anses vara aktivt exploaterat.
Säkerhetsvarningsrådgivaren från Oracle, officiellt taggad som CVE-2019-2729, nämner hotet är ”deserialiseringssårbarhet via XMLDecoder i Oracle WebLogic Server Web Services. Denna sårbarhet för fjärrkörning kan fjärrutnyttjas utan autentisering, dvs kan utnyttjas över ett nätverk utan behov av ett användarnamn och lösenord. ”
Säkerhetsproblemet CVE-2019-2729 har fått en kritisk svårighetsgrad. CVSS-poängen 9.8 är vanligtvis reserverad för de allvarligaste och mest kritiska säkerhetshoten. Med andra ord måste WebLogic-serveradministratörer prioritera distributionen av korrigeringsfilen som utfärdats av Oracle.
Oracle WebLogic Exekvering av kod (CVE-2019-2729): https://t.co/xbfME9whWl #säkerhet pic.twitter.com/oyOyFybNfV
- F5 DevCentral (@devcentral) 25 juni 2019
En nyligen genomförd studie av kinesiska KnownSec 404 Team hävdar att säkerhetssårbarheten eftersträvas eller används aktivt. Teamet anser starkt att det nya utnyttjandet i huvudsak är en förbikoppling för korrigeringen av en tidigare känd bugg som officiellt taggats som CVE-2019–2725. Med andra ord anser teamet att Oracle oavsiktligt kan ha lämnat ett kryphål inom den sista korrigeringen som var avsedd att ta itu med en tidigare upptäckt säkerhetsfel. Oracle har emellertid officiellt förtydligat att den just adresserade säkerhetssårbarheten inte är helt relaterad till den tidigare. I en blogginlägg som är tänkt att erbjuda förtydligande ungefär samma sak, John Heimann, VP Security Program Management, noterade, 'Observera att även om problemet som tas upp i denna varning är sårbarhet vid deserialisering, som det som behandlas i säkerhetsvarning CVE-2019-2725, är det en tydlig sårbarhet.'
Sårbarheten kan enkelt utnyttjas av en angripare med nätverksåtkomst. Angriparen kräver bara åtkomst via HTTP, en av de vanligaste nätverksvägarna. Angriparna behöver inte autentiseringsuppgifter för att utnyttja sårbarheten via ett nätverk. Utnyttjandet av sårbarheten kan potentiellt leda till övertagande av de riktade Oracle WebLogic-servrarna.
Weblogic XMLDecoder RCE
börja från CVE-2017-3506, sluta CVE-2019-2729. Vi gör Oracle galna, äntligen använder de WHITELIST för att fixa. pic.twitter.com/CWXN6zVAsQ- pyn3rd (@ pyn3rd) 20 juni 2019
Vilka Oracle WebLogic-servrar är fortfarande sårbara för CVE-2019-2729?
Oavsett korrelationen eller anslutningen till det tidigare säkerhetsfelet rapporterade flera säkerhetsforskare aktivt den nya WebLogic-nolldagens sårbarheten för Oracle. Enligt forskare påverkar buggen enligt uppgift Oracle WebLogic Server versioner 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.
Intressant nog fanns det några lösningar för systemadministratörer redan innan Oracle utfärdade säkerhetsuppdateringen. De som snabbt vill skydda sina system erbjöds två separata lösningar som fortfarande kunde fungera:
Scenario-1: Hitta och ta bort wls9_async_response.war, wls-wsat.war och starta om Weblogic-tjänsten. Scenario-2: Styr URL-åtkomst för / _async / * och / wls-wsat / * sökvägar genom kontroll av åtkomstpolicy.
Säkerhetsforskare kunde upptäcka cirka 42 000 Internet-tillgängliga WebLogic-servrar. Det behöver inte nämnas att majoriteten av angriparna som vill utnyttja sårbarheten riktar sig mot företagsnätverk. Den primära avsikten bakom attacken verkar vara att släppa krypto-mining malware. Servrar har några av de mest kraftfulla datorkrafterna och sådan skadlig kod använder diskret samma för att bryta ut kryptovaluta. Vissa rapporter visar att angripare distribuerar skadlig programvara från Monero-mining. Angripare var till och med kända för att ha använt certifikatfiler för att dölja skadlig kod för skadlig kodvariant. Detta är en ganska vanlig teknik för att undvika upptäckt med antiprogramvara.
