Oracle
Spoločnosť Oracle uznala aktívne využívanú chybu zabezpečenia na svojich populárnych a široko nasadených serveroch WebLogic. Aj keď spoločnosť vydala opravu, používatelia musia najskôr aktualizovať svoje systémy, pretože chyba WebLogic s nulovým dňom je v súčasnosti aktívne využívaná. Chyba zabezpečenia bola označená na úrovni „kritickej závažnosti“. Skóre skóre spoločného zraniteľnosti alebo základné skóre CVSS je alarmujúcich 9,8.
Oracle nedávno riešené kritická zraniteľnosť ovplyvňujúca jeho servery WebLogic. Kritická chyba zabezpečenia WebLogic zero-day ohrozuje online bezpečnosť používateľov. Táto chyba môže potenciálne umožniť vzdialenému útočníkovi získať úplnú administratívnu kontrolu nad obeťou alebo cieľovými zariadeniami. Ak to nie je dosť znepokojujúce, vzdialený útočník môže vo vnútri ľahko spustiť ľubovoľný kód. Nasadenie alebo aktiváciu kódu je možné vykonať na diaľku. Aj keď spoločnosť Oracle rýchlo vydala opravu systému, je na správcoch serverov, aby aktualizáciu nasadili alebo nainštalovali, pretože táto chyba nulového dňa WebLogic sa považuje za aktívne využívanú.
Poradca Security Alert od spoločnosti Oracle, ktorý je oficiálne označený ako CVE-2019-2729, uvádza, že ide o hrozbu: „zraniteľnosť pri deserializácii prostredníctvom XMLDecoder vo webových službách Oracle WebLogic Server. Táto chyba zabezpečenia vzdialeného spustenia kódu je na diaľku zneužitá bez autentifikácie, t. J. Môže byť zneužitá v sieti bez potreby používateľského mena a hesla. “
Zraniteľnosť zabezpečenia CVE-2019-2729 získala kritickú úroveň závažnosti. Základné skóre CVSS 9,8 je zvyčajne vyhradené pre najťažšie a najkritickejšie bezpečnostné hrozby. Inými slovami, správcovia servera WebLogic musia uprednostniť nasadenie opravy vydanej spoločnosťou Oracle.
Vzdialené spustenie kódu Oracle WebLogic (CVE-2019-2729): https://t.co/xbfME9whWl # bezpečnosť pic.twitter.com/oyOyFybNfV
- F5 DevCentral (@devcentral) 25. júna 2019
Nedávno vykonaná štúdia vykonaná čínskym tímom KnownSec 404 tvrdí, že bezpečnostná chyba sa aktívne sleduje alebo používa. Tím je pevne presvedčený, že nové zneužitie je v podstate obídením opravy predtým známej chyby oficiálne označenej ako CVE-2019–2725. Inými slovami, tím cíti, že spoločnosť Oracle mohla nechtiac nechať medzeru v poslednej aktualizácii, ktorá mala vyriešiť skôr objavenú bezpečnostnú chybu. Spoločnosť Oracle však oficiálne objasnila, že práve riešená chyba zabezpečenia úplne nesúvisí s tou predchádzajúcou. V príspevok na blogu chcel poskytnúť vysvetlenie približne rovnako, John Heimann, viceprezident pre bezpečnostný program, poznamenal: „Upozorňujeme, že zatiaľ čo problémom, na ktoré sa vzťahuje toto upozornenie, je zraniteľnosť deserializácie, podobne ako problém riešený v Security Alert CVE-2019-2725, jedná sa o samostatnú chybu zabezpečení.“
Zraniteľnosť môže byť ľahko zneužitý útočníkom so sieťovým prístupom. Útočník vyžaduje iba prístup prostredníctvom protokolu HTTP, jednej z najbežnejších sieťových ciest. Útočníci nepotrebujú autentifikačné údaje na zneužitie tejto chyby zabezpečenia v sieti. Využitie tejto chyby môže potenciálne viesť k ovládnutiu cieľových serverov Oracle WebLogic.
Weblogic XMLDecoder RCE
začiatok od CVE-2017-3506, koniec od CVE-2019-2729. Vedieme Oracle k šialenstvu, nakoniec na opravu používajú WHITELIST. pic.twitter.com/CWXN6zVAsQ- pyn3rd (@ pyn3rd) 20. júna 2019
Ktoré servery Oracle WebLogic zostávajú zraniteľné voči CVE-2019-2729?
Bez ohľadu na koreláciu alebo spojenie s predchádzajúcou chybou zabezpečenia niekoľko výskumných pracovníkov v oblasti bezpečnosti aktívne informovalo spoločnosť Oracle o novej zraniteľnosti nulového dňa WebLogic. Podľa výskumníkov táto chyba údajne ovplyvňuje server Oracle WebLogic Server verzie 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.
Je zaujímavé, že ešte predtým, ako spoločnosť Oracle vydala bezpečnostnú opravu, pre správcov systému bolo niekoľko riešení. Tým, ktorí chceli rýchlo chrániť svoje systémy, boli ponúknuté dve samostatné riešenia, ktoré by ešte mohli fungovať:
Scenár 1: Nájdite a vymažte wls9_async_response.war, wls-wsat.war a reštartujte službu Weblogic. Scenár-2: Riadi prístup URL pre cesty / _async / * a / wls-wsat / * pomocou riadenia prístupovej politiky.
Výskumníkom v oblasti bezpečnosti sa podarilo objaviť asi 42 000 serverov WebLogic prístupných na internete. Je potrebné spomenúť, že väčšina útočníkov, ktorí sa snažia zneužiť túto chybu, sa zameriava na podnikové siete. Zdá sa, že primárnym zámerom útoku bolo upustenie od škodlivého softvéru na ťažbu kryptomeny. Servery majú jedny z najvýkonnejších výpočtových výkonov a taký malware ich diskrétne používa na ťažbu kryptomeny. Niektoré správy naznačujú, že útočníci nasadzujú malware ťažiaci Monero. O útočníkoch bolo dokonca známe, že pomocou súborov s certifikátmi skryli škodlivý kód variantu škodlivého softvéru. Toto je celkom bežná technika, ako sa vyhnúť detekcii pomocou softvéru proti malvéru.
