WebLogic Server null-dagers sårbarhetsoppdatering utgitt, Oracle Advarsler Utnyttelse fortsatt aktiv

Oracle erkjente aktivt utnyttet sikkerhetssårbarhet på sine populære og vidt distribuerte WebLogic-servere. Selv om selskapet har utstedt en oppdatering, må brukerne oppdatere systemene tidligst fordi WebLogic null-dagers bug er for tiden under aktiv utnyttelse. Sikkerhetsfeilen er merket med "kritisk alvorlighetsgrad" -nivå. Common Vulnerability Scoring System-poengsummen eller CVSS-basescore er en alarmerende 9,8.

Oracle adresserte nylig en kritisk sårbarhet som påvirker WebLogic-serverne. Den kritiske sikkerhetsproblemet med null dager i WebLogic truer brukernes online sikkerhet. Feilen kan potensielt tillate en ekstern angriper å få full administrativ kontroll over offeret eller målenhetene. Hvis det ikke gjelder nok, kan den eksterne angriperen enkelt utføre vilkårlig kode når den er inne. Distribusjon eller aktivering av koden kan gjøres eksternt. Selv om Oracle raskt har gitt ut en oppdatering for systemet, er det opp til serveradministratorene å distribuere eller installere oppdateringen, da denne WebLogic-nulldagsfeilen anses å være under aktiv utnyttelse.

Security Alert-rådgiveren fra Oracle, offisielt merket som CVE-2019-2729, nevner trusselen er "deserialiseringssårbarhet via XMLDecoder i Oracle WebLogic Server Web Services. Denne eksterne sårbarheten for kodeutførelse kan utnyttes eksternt uten autentisering, dvs. kan utnyttes over et nettverk uten behov for brukernavn og passord. "

Sikkerhetsproblemet i CVE-2019-2729 har fått et kritisk alvorlighetsgrad. CVSS-poengsummen 9.8 er vanligvis reservert for de mest alvorlige og kritiske sikkerhetstruslene. Med andre ord må WebLogic-serveradministratorer prioritere distribusjonen av oppdateringen gitt av Oracle.

En nylig gjennomført studie av kinesiske KnownSec 404 Team hevder at sikkerhetssårbarheten blir aktivt forfulgt eller brukt. Teamet føler sterkt at den nye utnyttelsen egentlig er en bypass for oppdateringen av en tidligere kjent feil offisielt merket som CVE-2019-2725. Med andre ord føler teamet at Oracle kanskje utilsiktet har etterlatt et smutthull i den siste oppdateringen som var ment å løse en tidligere oppdaget sikkerhetsfeil. Oracle har imidlertid offisielt avklart at den nettopp adresserte sikkerhetssårbarheten ikke er helt relatert til den forrige. I et blogginnlegg som er ment å gi en avklaring om det samme, bemerket John Heimann, VP Security Program Management, “Vær oppmerksom på at selv om problemet som tas opp av dette varselet er sårbarhet ved deserialisering, som det som er behandlet i Security Alert CVE-2019-2725, er det er en tydelig sårbarhet. ”

Sårbarheten kan lett utnyttes av en angriper med nettverkstilgang. Angriperen krever bare tilgang via HTTP, en av de vanligste nettverksveiene. Angriperne trenger ikke autentiseringslegitimasjon for å utnytte sårbarheten over et nettverk. Utnyttelsen av sårbarheten kan potensielt føre til overtakelse av de målrettede Oracle WebLogic-serverne.

Hvilke Oracle WebLogic-servere er fortsatt sårbare for CVE-2019-2729?

Uavhengig av korrelasjonen eller forbindelsen til den forrige sikkerhetsfeilen rapporterte flere sikkerhetsforskere aktivt den nye WebLogic null-dagers sårbarheten til Oracle. Ifølge forskere påvirker bugten angivelig Oracle WebLogic Server-versjoner 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.

Interessant, selv om Oracle utstedte sikkerhetsoppdateringen, var det noen få løsninger for systemadministratorer. De som ønsket å raskt beskytte systemene sine, ble tilbudt to separate løsninger som fremdeles kunne fungere:

Sikkerhetsforskere klarte å oppdage om lag 42 000 Internett-tilgjengelige WebLogic-servere. Det er unødvendig å nevne at de fleste angripere som ønsker å utnytte sårbarheten, retter seg mot bedriftsnettverk. Den primære intensjonen bak angrepet ser ut til å være å slippe krypto-mining malware. Servere har noen av de kraftigste datakraftene, og slik skadelig programvare bruker diskret det samme for å utvide kryptovaluta. Noen rapporter indikerer at angripere bruker Monero-mining malware. Angripere var til og med kjent for å ha brukt sertifikatfiler for å skjule skadelig kode for malware-varianten. Dette er en ganske vanlig teknikk for å unngå deteksjon med anti-malware programvare.