WebLogic Server Zero-Day Sårbarhed Patch udstedt, Oracle Advarsler Udnyttelse stadig aktiv
Oracle anerkendte aktivt udnyttet sikkerhedssårbarhed på sine populære WebLogic-servere. Selvom virksomheden har udstedt en patch, skal brugerne tidligst opdatere deres systemer, fordi WebLogic-nul-dags-bugten i øjeblikket er under aktiv udnyttelse. Sikkerhedsfejlen er mærket med "kritisk sværhedsgrad" -niveau. Common Vulnerability Scoring System-score eller CVSS-basisscore er en alarmerende 9,8.
Oracle behandlede for nylig en kritisk sårbarhed, der påvirker sine WebLogic-servere. Den kritiske WebLogic nul-dags sårbarhed truer brugernes online sikkerhed. Fejlen kan muligvis give en fjernangriber mulighed for at få fuldstændig administrativ kontrol over offeret eller målenhederne. Hvis det ikke er tilstrækkeligt relevant, kan den eksterne angriber, når den er indeni, let udføre vilkårlig kode. Implementering eller aktivering af koden kan foretages eksternt. Selvom Oracle hurtigt har udstedt en patch til systemet, er det op til serveradministratorerne at distribuere eller installere opdateringen, da denne WebLogic nul-dags bug anses for at være under aktiv udnyttelse.
Security Alert-rådgiveren fra Oracle, officielt mærket som CVE-2019-2729, nævner truslen er, "sårbarhed ved deserialisering via XMLDecoder i Oracle WebLogic Server Web Services. Denne sårbarhed med fjernudførelse af kode kan fjernudnyttes uden godkendelse, dvs. kan udnyttes over et netværk uden behov for et brugernavn og en adgangskode. ”
CVE-2019-2729 sikkerhedssårbarheden har opnået et kritisk sværhedsgrad. CVSS-basis score på 9.8 er normalt forbeholdt de mest alvorlige og kritiske sikkerhedstrusler. Med andre ord skal WebLogic-serveradministratorer prioritere implementeringen af patch udstedt af Oracle.
En nylig gennemført undersøgelse af kinesiske KnownSec 404 Team hævder, at sikkerhedssårbarheden forfølges eller bruges aktivt. Holdet føler stærkt, at den nye udnyttelse i det væsentlige er en bypass til patch af en tidligere kendt fejl, der officielt er mærket som CVE-2019-2725. Med andre ord føler holdet, at Oracle måske utilsigtet har efterladt et smuthul inden for den sidste programrettelse, der var beregnet til at løse en tidligere opdaget sikkerhedsfejl. Oracle har imidlertid officielt præciseret, at den netop adresserede sikkerhedssårbarhed er fuldstændig uafhængig af den foregående. I et blogindlæg, der skulle give en afklaring om det samme, bemærkede John Heimann, VP Security Program Management, “Vær opmærksom på, at selvom problemet behandlet af denne alarm er sårbarhed ved deserialisering, som det, der er behandlet i Security Alert CVE-2019-2725, er det er en særskilt sårbarhed. ”
Sårbarheden kan let udnyttes af en hacker med netværksadgang. Angriberen kræver kun adgang via HTTP, en af de mest almindelige netværksveje. Angriberne har ikke brug for godkendelsesoplysninger for at udnytte sårbarheden over et netværk. Udnyttelsen af sårbarheden kan potentielt resultere i overtagelse af de målrettede Oracle WebLogic-servere.
Hvilke Oracle WebLogic-servere forbliver sårbare over for CVE-2019-2729?
Uanset sammenhængen med eller forbindelsen til den tidligere sikkerhedsfejl rapporterede flere sikkerhedsforskere aktivt den nye WebLogic nul-dags sårbarhed over for Oracle. Ifølge forskere påvirker bugten angiveligt Oracle WebLogic Server versioner 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.
Interessant nok var der et par løsninger til systemadministratorer, selv før Oracle udstedte sikkerhedsrettelsen. Dem, der hurtigt ville beskytte deres systemer, blev tilbudt to separate løsninger, som stadig kunne fungere:
Sikkerhedsforskere var i stand til at opdage omkring 42.000 Internet-tilgængelige WebLogic-servere. Det er overflødigt at nævne, at de fleste angribere, der ønsker at udnytte sårbarheden, er målrettet mod virksomhedsnetværk. Den primære hensigt bag angrebet ser ud til at være at droppe malware til crypto-mining. Servere har nogle af de mest magtfulde computerkræfter, og sådan malware bruger diskret det samme til at udvinde kryptovaluta. Nogle rapporter tyder på, at angribere anvender malware fra Monero-mining. Angribere var endda kendt for at have brugt certifikatfiler til at skjule malware-variantens ondsindede kode. Dette er en ret almindelig teknik til at undgå afsløring med anti-malware-software.