Oracle
Oracle je prepoznao aktivno iskorištenu sigurnosnu ranjivost u svojim popularnim i široko raspoređenim poslužiteljima WebLogic. Iako je tvrtka izdala zakrpu, korisnici moraju najprije ažurirati svoje sustave jer je programska pogreška nultog dana WebLogic trenutno u aktivnoj eksploataciji. Sigurnosni propust označen je razinom 'kritične ozbiljnosti'. Rezultat sustava bodovanja za ranjivost ili osnovni rezultat CVSS alarmantan je 9,8.
Oracle nedavno obratio kritična ranjivost koja utječe na njene poslužitelje WebLogic. Kritična ranjivost nultih dana WebLogic ugrožava internetsku sigurnost korisnika. Bug može potencijalno dopustiti udaljenom napadaču da stekne potpunu administrativnu kontrolu nad žrtvom ili ciljnim uređajima. Ako se to ne tiče dovoljno, nakon što uđe, udaljeni napadač može lako izvršiti proizvoljan kod. Uvođenje ili aktivacija koda može se izvršiti na daljinu. Iako je Oracle brzo izdao zakrpu za sustav, na administratorima poslužitelja je da instaliraju ili instaliraju nadogradnju jer se smatra da je ova programska pogreška nultih dana WebLogic u aktivnoj eksploataciji.
Savjetnik za sigurnosna upozorenja iz Oraclea, službeno označen kao CVE-2019-2729, spominje prijetnju, „ranjivost deserializacije putem XMLDecoder-a u Oracle WebLogic Server Web Services. Ova ranjivost za daljinsko izvršavanje koda može se daljinski iskoristiti bez provjere autentičnosti, tj. Može se iskoristiti preko mreže bez potrebe za korisničkim imenom i lozinkom. '
Sigurnosna ranjivost CVE-2019-2729 zaradila je kritičnu razinu ozbiljnosti. Osnovna ocjena CVSS-a 9,8 obično je rezervirana za najteže i kritične sigurnosne prijetnje. Drugim riječima, administratori poslužitelja WebLogic moraju dati prednost postavljanju zakrpe koju je izdao Oracle.
Oracle WebLogic daljinsko izvršavanje koda (CVE-2019-2729): https://t.co/xbfME9whWl #sigurnost pic.twitter.com/oyOyFybNfV
- F5 DevCentral (@devcentral) 25. lipnja 2019
Nedavno provedeno istraživanje kineskog tima KnownSec 404 tvrdi da se sigurnosna ranjivost aktivno provodi ili koristi. Tim snažno osjeća da je novi exploit u osnovi zaobilaznica zakrpe prethodno poznate programske pogreške koja je službeno označena kao CVE-2019–2725. Drugim riječima, tim smatra da je Oracle možda nehotice ostavio rupu u posljednjoj zakrpi koja je trebala otkloniti prethodno otkrivenu sigurnosnu manu. Međutim, Oracle je službeno pojasnio da je upravo adresirana sigurnosna ranjivost potpuno nepovezana s prethodnom. U post na blogu namijenjen nuđenju pojašnjenja otprilike isto, John Heimann, potpredsjednik Upravljačkog programa za sigurnosne programe, primijetio je: 'Imajte na umu da, iako je problem na koji se odnosi ovo upozorenje ranjivost deserializacije, poput one koja je obrađena u Sigurnosnom upozorenju CVE-2019-2725, to je posebna ranjivost.'
Ranjivost može lako iskoristiti napadač s pristupom mreži. Napadač samo treba pristup putem HTTP-a, jednog od najčešćih mrežnih putova. Napadačima nisu potrebne vjerodajnice za provjeru autentičnosti da bi iskoristili ranjivost putem mreže. Iskorištavanje ranjivosti može potencijalno rezultirati preuzimanjem ciljanih poslužitelja Oracle WebLogic.
Weblogic XMLDecoder RCE
početak od CVE-2017-3506, završetak od CVE-2019-2729. Izluđujemo Oracle, napokon koriste WHITELIST za popravak. pic.twitter.com/CWXN6zVAsQ- pyn3rd (@ pyn3rd) 20. lipnja 2019
Koji Oracle WebLogic poslužitelji ostaju ranjivi na CVE-2019-2729?
Bez obzira na povezanost ili povezanost s prethodnom sigurnosnom pogreškom, nekoliko sigurnosnih istraživača aktivno je izvijestilo o novoj ranjivosti nula dana WebLogic na Oracle. Prema istraživačima, greška navodno utječe na verzije Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.
Zanimljivo je da je i prije nego što je Oracle izdao sigurnosnu zakrpu bilo nekoliko rješenja za administratore sustava. Onima koji su željeli brzo zaštititi svoje sustave ponuđena su dva odvojena rješenja koja još uvijek mogu raditi:
Scenarij-1: Pronađite i izbrišite wls9_async_response.war, wls-wsat.war i ponovno pokrenite uslugu Weblogic. Scenarij-2: Upravlja pristupom URL-a za staze / _async / * i / wls-wsat / * putem kontrole politike pristupa.
Istraživači sigurnosti uspjeli su otkriti oko 42.000 internetsko dostupnih poslužitelja WebLogic. Nepotrebno je spominjati da većina napadača koji žele iskoristiti ranjivost cilja korporativne mreže. Čini se da je primarna namjera napada napada ispuštanje malware-a za kripto-rudarstvo. Poslužitelji imaju najmoćniju računalnu snagu i takav zlonamjerni softver diskretno koristi istu za kopanje kriptovaluta. Neka izvješća ukazuju na to da napadači primjenjuju zlonamjerni softver Monero-mining. Čak je bilo poznato da su napadači koristili datoteke certifikata kako bi sakrili zlonamjerni kod inačice zlonamjernog softvera. Ovo je prilično uobičajena tehnika za izbjegavanje otkrivanja pomoću softvera za zaštitu od zlonamjernog softvera.
