Oracle
Oracle anerkjente aktivt utnyttet sikkerhetssårbarhet på sine populære og vidt distribuerte WebLogic-servere. Selv om selskapet har utstedt en oppdatering, må brukerne oppdatere systemene sine tidligst fordi null-dags-feilen i WebLogic for tiden er under aktiv utnyttelse. Sikkerhetsfeilen er merket med 'kritisk alvorlighetsgrad' -nivå. Common Vulnerability Scoring System-poengsummen eller CVSS-basescore er en alarmerende 9,8.
Oracle nylig adressert en kritisk sårbarhet som påvirker WebLogic-serverne. Den kritiske sikkerhetsproblemet med null dager i WebLogic truer brukernes online sikkerhet. Feilen kan potensielt tillate en ekstern angriper å få full administrativ kontroll over offeret eller målenhetene. Hvis det ikke gjelder nok, kan den eksterne angriperen enkelt utføre vilkårlig kode når den er inne. Distribusjon eller aktivering av koden kan gjøres eksternt. Selv om Oracle raskt har gitt ut en oppdatering for systemet, er det opp til serveradministratorene å distribuere eller installere oppdateringen, da denne WebLogic-nulldagsfeilen anses å være under aktiv utnyttelse.
Security Alert-rådgiveren fra Oracle, offisielt merket som CVE-2019-2729, nevner trusselen er 'sårbarhet ved deserialisering via XMLDecoder i Oracle WebLogic Server Web Services. Dette sårbarheten for ekstern kjøring av kode kan fjernutnyttes uten autentisering, dvs. kan utnyttes over et nettverk uten behov for brukernavn og passord. '
Sikkerhetsproblemet i CVE-2019-2729 har fått et kritisk alvorlighetsgrad. CVSS-poengsummen 9.8 er vanligvis reservert for de mest alvorlige og kritiske sikkerhetstruslene. Med andre ord må WebLogic-serveradministratorer prioritere distribusjonen av oppdateringen gitt av Oracle.
Oracle WebLogic ekstern kjøring av kode (CVE-2019-2729): https://t.co/xbfME9whWl #sikkerhet pic.twitter.com/oyOyFybNfV
- F5 DevCentral (@devcentral) 25. juni 2019
En nylig utført studie av kinesiske KnownSec 404 Team hevder at sikkerhetssårbarheten blir aktivt forfulgt eller brukt. Teamet føler sterkt at den nye utnyttelsen egentlig er en bypass for oppdateringen av en tidligere kjent feil offisielt merket som CVE-2019-2725. Med andre ord føler teamet at Oracle kan ha utilsiktet forlatt et smutthull i den siste oppdateringen som var ment å løse en tidligere oppdaget sikkerhetsfeil. Imidlertid har Oracle offisielt avklart at den nettopp adresserte sikkerhetssårbarheten ikke er helt relatert til den forrige. I en blogginnlegg ment å tilby avklaring omtrent det samme, bemerket John Heimann, VP Security Program Management, 'Vær oppmerksom på at selv om problemet adressert av dette varselet er sårbarhet ved deserialisering, som det som er adressert i sikkerhetsvarsel CVE-2019-2725, er det et tydelig sårbarhet.'
Sårbarheten kan enkelt utnyttes av en angriper med nettverkstilgang. Angriperen krever bare tilgang via HTTP, en av de vanligste nettverksveiene. Angriperne trenger ikke autentiseringslegitimasjon for å utnytte sårbarheten over et nettverk. Utnyttelsen av sårbarheten kan potensielt føre til overtakelse av de målrettede Oracle WebLogic-serverne.
Weblogic XMLDecoder RCE
start fra CVE-2017-3506, slutt på CVE-2019-2729. Vi gjør Oracle gal, til slutt bruker de WHITELIST til å fikse. pic.twitter.com/CWXN6zVAsQ- pyn3rd (@ pyn3rd) 20. juni 2019
Hvilke Oracle WebLogic-servere er fortsatt sårbare for CVE-2019-2729?
Uavhengig av sammenhengen eller forbindelsen til den forrige sikkerhetsfeilen rapporterte flere sikkerhetsforskere aktivt den nye WebLogic null-dagers sårbarheten til Oracle. Ifølge forskere påvirker bugten angivelig Oracle WebLogic Server versjoner 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.
Interessant, selv om Oracle utstedte sikkerhetsoppdateringen, var det noen få løsninger for systemadministratorer. De som ønsket å raskt beskytte systemene sine, ble tilbudt to separate løsninger som fremdeles kunne fungere:
Scenario-1: Finn og slett wls9_async_response.war, wls-wsat.war og start Weblogic-tjenesten på nytt. Scenario-2: Kontrollerer URL-tilgang for / _async / * og / wls-wsat / * baner ved tilgangspolicykontroll.
Sikkerhetsforskere klarte å oppdage om lag 42 000 Internett-tilgjengelige WebLogic-servere. Unødvendig å nevne at de fleste angripere som ønsker å utnytte sårbarheten, retter seg mot bedriftsnettverk. Den primære intensjonen bak angrepet ser ut til å være å slippe krypto-mining malware. Servere har noen av de kraftigste datakraftene, og slik skadelig programvare bruker diskret det samme for å utvinne kryptovaluta. Noen rapporter indikerer at angripere bruker Monero-mining malware. Angripere var til og med kjent for å ha brukt sertifikatfiler for å skjule skadelig kode for malware-varianten. Dette er en ganske vanlig teknikk for å unngå deteksjon med anti-malware programvare.
