Oracle
Oracle признала, что в своих популярных и широко используемых серверах WebLogic активно используется уязвимость системы безопасности. Несмотря на то, что компания выпустила исправление, пользователи должны обновить свои системы как можно скорее, потому что ошибка нулевого дня WebLogic в настоящее время активно используется. Недостаток безопасности помечен как «критическая серьезность». Общая оценка системы оценки уязвимостей или базовая оценка CVSS - тревожные 9,8.
Oracle недавно обратился критическая уязвимость, затрагивающая его серверы WebLogic. Критическая уязвимость нулевого дня WebLogic угрожает сетевой безопасности пользователей. Ошибка потенциально может позволить удаленному злоумышленнику получить полный административный контроль над жертвой или целевыми устройствами. Если этого недостаточно, оказавшись внутри, удаленный злоумышленник может легко выполнить произвольный код. Развертывание или активация кода может выполняться удаленно. Хотя Oracle быстро выпустила исправление для системы, администраторы сервера должны развернуть или установить обновление, поскольку эта ошибка нулевого дня WebLogic считается активно эксплуатируемой.
Советник по предупреждению безопасности от Oracle, официально обозначенный как CVE-2019-2729, отмечает, что угроза заключается в «уязвимости десериализации через XMLDecoder в веб-службах Oracle WebLogic Server». Эта уязвимость, связанная с удаленным выполнением кода, может использоваться удаленно без аутентификации, то есть может использоваться по сети без необходимости ввода имени пользователя и пароля ».
Уязвимость системы безопасности CVE-2019-2729 получила критический уровень опасности. Базовая оценка CVSS 9,8 обычно зарезервирована для наиболее серьезных и критических угроз безопасности. Другими словами, администраторы сервера WebLogic должны установить приоритет развертывания исправления, выпущенного Oracle.
Удаленное выполнение кода Oracle WebLogic (CVE-2019-2729): https://t.co/xbfME9whWl #безопасность pic.twitter.com/oyOyFybNfV
- F5 DevCentral (@devcentral) 25 июня 2019 г.,
Недавно проведенное китайской командой KnownSec 404 исследование показало, что уязвимость системы безопасности активно исследуется или используется. Команда твердо убеждена, что новый эксплойт, по сути, является обходом исправления ранее известной ошибки, официально отмеченной как CVE-2019–2725. Другими словами, команда считает, что Oracle могла непреднамеренно оставить лазейку в последнем патче, которая должна была устранить ранее обнаруженную брешь в безопасности. Однако Oracle официально пояснила, что только что устраненная уязвимость безопасности полностью не связана с предыдущей. В сообщение в блоге, предназначенное для разъяснения Примерно то же самое, Джон Хейманн, вице-президент по управлению программами безопасности, отметил: «Обратите внимание, что, хотя проблема, рассматриваемая в этом предупреждении, является уязвимостью десериализации, подобной той, которая рассматривается в предупреждении безопасности CVE-2019-2725, это отдельная уязвимость».
Уязвимость может быть легко использована злоумышленником, имеющим доступ к сети. Злоумышленнику просто требуется доступ через HTTP, один из наиболее распространенных сетевых путей. Злоумышленникам не нужны учетные данные для аутентификации, чтобы использовать уязвимость в сети. Использование уязвимости может потенциально привести к захвату целевых серверов Oracle WebLogic.
Weblogic XMLDecoder RCE
начинаются с CVE-2017-3506, заканчиваются CVE-2019-2729. Мы сводим Oracle с ума, наконец, они используют БЕЛЫЙ СПИСОК для исправления. pic.twitter.com/CWXN6zVAsQ- pyn3rd (@ pyn3rd) 20 июня 2019 г.,
Какие серверы Oracle WebLogic остаются уязвимыми для CVE-2019-2729?
Независимо от корреляции или связи с предыдущей ошибкой безопасности, несколько исследователей безопасности активно сообщили Oracle о новой уязвимости нулевого дня WebLogic. По словам исследователей, ошибка затрагивает Oracle WebLogic Server версий 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.
Интересно, что даже до того, как Oracle выпустила исправление безопасности, для системных администраторов существовало несколько обходных путей. Тем, кто хотел быстро защитить свои системы, были предложены два отдельных решения, которые все еще могли работать:
Сценарий 1. Найдите и удалите wls9_async_response.war, wls-wsat.war и перезапустите службу Weblogic. Сценарий 2. Управляет доступом по URL-адресу для путей / _async / * и / wls-wsat / * с помощью управления политикой доступа.
Исследователям безопасности удалось обнаружить около 42 000 серверов WebLogic, доступных через Интернет. Излишне упоминать, что большинство злоумышленников, стремящихся использовать уязвимость, нацелены на корпоративные сети. Похоже, что основной целью атаки является удаление вредоносного ПО для майнинга криптовалют. Серверы обладают одной из самых мощных вычислительных мощностей, и такое вредоносное ПО незаметно использует их для добычи криптовалюты. Некоторые отчеты указывают на то, что злоумышленники развертывают вредоносное ПО для майнинга Monero. Было даже известно, что злоумышленники использовали файлы сертификатов, чтобы скрыть вредоносный код варианта вредоносного ПО. Это довольно распространенный метод, позволяющий избежать обнаружения вредоносным ПО.
