WebLogic Server Zero-Day Sulnerability Patch utfärdat, Oracle Varningar Utnyttja fortfarande aktivt

Oracle erkände aktivt utnyttjad säkerhetsproblem i sina populära och allmänt distribuerade WebLogic-servrar. Även om företaget har utfärdat en korrigeringsfil måste användarna uppdatera sina system tidigast eftersom WebLogic-noll-dagsfelet för närvarande är under aktiv exploatering. Säkerhetsfelet har taggats med ”kritisk svårighetsgrad”. Common Vulnerability Scoring System-poäng eller CVSS-baspoäng är en alarmerande 9,8.

Oracle tog nyligen upp en kritisk sårbarhet som påverkar dess WebLogic-servrar. Den kritiska WebLogic-nolldagens sårbarheten hotar användarnas online-säkerhet. Felet kan potentiellt tillåta en fjärranfallare att få fullständig administrativ kontroll av offret eller målenheterna. Om det inte räcker tillräckligt kan fjärrangriparen en gång inuti köra godtycklig kod. Distribution eller aktivering av koden kan göras på distans. Även om Oracle snabbt har utfärdat en korrigeringsfil för systemet är det upp till serveradministratörerna att distribuera eller installera uppdateringen eftersom detta WebLogic-nolldagarsfel anses vara aktivt exploaterat.

Säkerhetsvarningsrådgivaren från Oracle, officiellt taggad som CVE-2019-2729 nämner hotet är, ”sårbarhet för deserialisering via XMLDecoder i Oracle WebLogic Server Web Services. Den här sårbarheten för exekvering av fjärrkod kan utnyttjas på distans utan autentisering, dvs kan utnyttjas över ett nätverk utan behov av ett användarnamn och lösenord. ”

Säkerhetsproblemet CVE-2019-2729 har fått en kritisk svårighetsgrad. CVSS-poängen 9,8 är vanligtvis reserverad för de allvarligaste och mest kritiska säkerhetshoten. Med andra ord måste WebLogic-serveradministratörer prioritera distributionen av korrigeringsfilen som utfärdats av Oracle.

En nyligen genomförd studie av kinesiska KnownSec 404 Team hävdar att säkerhetsproblemet eftersträvas eller används aktivt. Teamet anser starkt att det nya utnyttjandet i huvudsak är en förbikoppling för korrigeringen av en tidigare känd bugg som officiellt taggats som CVE-2019–2725. Med andra ord anser laget att Oracle oavsiktligt kan ha lämnat ett kryphål i den sista korrigeringsfilen som var tänkt att ta itu med en tidigare upptäckt säkerhetsfel. Oracle har emellertid officiellt förtydligat att den just adresserade säkerhetssårbarheten inte är helt relaterad till den tidigare. I ett blogginlägg som är tänkt att erbjuda förtydligande om detsamma noterade John Heimann, VP Security Program Management, ”Observera att även om problemet som tas upp av denna varning är sårbarhet vid deserialisering, som det som behandlas i säkerhetsvarning CVE-2019-2725, är en tydlig sårbarhet. ”

Sårbarheten kan enkelt utnyttjas av en angripare med nätverksåtkomst. Angriparen kräver bara åtkomst via HTTP, en av de vanligaste nätverksvägarna. Angriparna behöver inte autentiseringsuppgifter för att utnyttja sårbarheten över ett nätverk. Utnyttjandet av sårbarheten kan potentiellt leda till övertagande av de riktade Oracle WebLogic-servrarna.

Vilka Oracle WebLogic-servrar är fortfarande sårbara för CVE-2019-2729?

Oavsett korrelationen eller anslutningen till den tidigare säkerhetsfelet rapporterade flera säkerhetsforskare aktivt den nya WebLogic-nolldagens sårbarhet för Oracle. Enligt forskare påverkar buggen enligt uppgift Oracle WebLogic Server versioner 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.

Intressant nog fanns det några lösningar för systemadministratörer redan innan Oracle utfärdade säkerhetsuppdateringen. De som snabbt vill skydda sina system erbjöds två separata lösningar som fortfarande kunde fungera:

Säkerhetsforskare kunde upptäcka cirka 42 000 Internet-tillgängliga WebLogic-servrar. Det behöver inte nämnas att majoriteten av angriparna som vill utnyttja sårbarheten riktar sig mot företagsnätverk. Den primära avsikten bakom attacken verkar vara att släppa krypto-mining malware. Servrar har några av de mest kraftfulla datorkraften och sådan skadlig kod använder diskret samma för att bryta kryptovaluta. Vissa rapporter tyder på att angripare distribuerar malware från Monero-mining. Angripare var till och med kända för att ha använt certifikatfiler för att dölja skadlig kods variant av skadlig kod. Detta är en ganska vanlig teknik för att undvika upptäckt med antiprogramvara.

Facebook Twitter Google Plus Pinterest