Logo pl.nowadaytechnol.com

Wydano Poprawkę Dotyczącą Luki W Zabezpieczeniach Serwera WebLogic Typu Zero-day, Program Oracle Cautions Exploit Wciąż Aktywny

Spisu treści:

Wydano Poprawkę Dotyczącą Luki W Zabezpieczeniach Serwera WebLogic Typu Zero-day, Program Oracle Cautions Exploit Wciąż Aktywny
Wydano Poprawkę Dotyczącą Luki W Zabezpieczeniach Serwera WebLogic Typu Zero-day, Program Oracle Cautions Exploit Wciąż Aktywny

Wideo: Wydano Poprawkę Dotyczącą Luki W Zabezpieczeniach Serwera WebLogic Typu Zero-day, Program Oracle Cautions Exploit Wciąż Aktywny

Wideo: Wydano Poprawkę Dotyczącą Luki W Zabezpieczeniach Serwera WebLogic Typu Zero-day, Program Oracle Cautions Exploit Wciąż Aktywny
Wideo: Drama z Sanitariuszem - więcej w poście na społeczności 😎 2024, Marsz
Anonim
Image
Image

Firma Oracle przyznała, że aktywnie wykorzystuje lukę w zabezpieczeniach swoich popularnych i szeroko rozpowszechnionych serwerów WebLogic. Chociaż firma wydała łatkę, użytkownicy muszą zaktualizować swoje systemy najwcześniej, ponieważ błąd zero-day w WebLogic jest obecnie w trakcie aktywnej eksploatacji. Luka w zabezpieczeniach została oznaczona poziomem „krytycznej wagi”. Ogólny wynik systemu punktacji podatności (Common Vulnerability Scoring System) lub wynik podstawowy CVSS to alarmujące 9,8.

Firma Oracle niedawno usunęła krytyczną lukę w zabezpieczeniach jej serwerów WebLogic. Krytyczna luka w zabezpieczeniach WebLogic typu zero-day zagraża bezpieczeństwu online użytkowników. Błąd może potencjalnie umożliwić zdalnemu atakującemu uzyskanie pełnej kontroli administracyjnej nad ofiarą lub urządzeniami docelowymi. Jeśli to nie wystarczy, osoba atakująca zdalnie po wejściu do środka może z łatwością wykonać dowolny kod. Wdrożenie lub aktywacja kodu może odbywać się zdalnie. Chociaż firma Oracle szybko wydała poprawkę dla systemu, to administratorzy serwerów muszą wdrożyć lub zainstalować aktualizację, ponieważ uważa się, że ten błąd dnia zerowego WebLogic jest aktywnie wykorzystywany.

Doradca Security Alert firmy Oracle, oficjalnie oznaczony jako CVE-2019-2729, wspomina, że zagrożenie to „luka w deserializacji viXMLDecoder w usługach internetowych Oracle WebLogic Server. Tę lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu można wykorzystać zdalnie bez uwierzytelniania, tj. Można ją wykorzystać za pośrednictwem sieci bez konieczności podawania nazwy użytkownika i hasła.”

Luka w zabezpieczeniach CVE-2019-2729 osiągnęła krytyczny poziom ważności. Podstawowy wynik CVSS 9,8 jest zwykle zarezerwowany dla najpoważniejszych i krytycznych zagrożeń bezpieczeństwa. Innymi słowy, administratorzy serwera WebLogic muszą nadać priorytet wdrożeniu poprawki wydanej przez Oracle.

Zdalne wykonanie kodu Oracle WebLogic (CVE-2019-2729): https://t.co/xbfME9whWl #security pic.twitter.com/oyOyFybNfV

- F5 DevCentral (@devcentral) 25 czerwca 2019 r

Niedawno przeprowadzone badanie przeprowadzone przez chiński zespół KnownSec 404 twierdzi, że luka w zabezpieczeniach jest aktywnie poszukiwana lub wykorzystywana. Zespół jest przekonany, że nowy exploit zasadniczo omija łatkę znanego wcześniej błędu, oficjalnie oznaczoną jako CVE-2019–2725. Innymi słowy, zespół uważa, że Oracle mógł nieumyślnie pozostawić lukę w ostatniej łatce, która miała na celu usunięcie wcześniej odkrytej luki w zabezpieczeniach. Jednak firma Oracle oficjalnie wyjaśniła, że omawiana właśnie luka w zabezpieczeniach jest całkowicie niezwiązana z poprzednią. W poście na blogu mającym na celu wyjaśnienie tego samego, John Heimann, wiceprezes ds. Zarządzania programami bezpieczeństwa, zauważył: „Należy pamiętać, że chociaż problem omawiany w tym alercie dotyczy luki w zabezpieczeniach związanej z deserializacją, podobnie jak ta opisana w Alercie zabezpieczeń CVE-2019-2725, jest to wyraźna podatność”.

Luka może być łatwo wykorzystana przez atakującego z dostępem do sieci. Atakujący wymaga jedynie dostępu do viHTTP, jednej z najpopularniejszych ścieżek sieciowych. Osoby atakujące nie potrzebują poświadczeń uwierzytelniających, aby wykorzystać lukę w sieci. Wykorzystanie tej luki może potencjalnie doprowadzić do przejęcia docelowych serwerów Oracle WebLogic.

Weblogic XMLDecoder RCEzaczynając od CVE-2017-3506, kończąc na CVE-2019-2729. Doprowadzamy Oracle do szaleństwa, w końcu wykorzystują BIAŁĄ LISTĘ, aby naprawić. pic.twitter.com/CWXN6zVAs

- pyn3rd (@ pyn3rd) 20 czerwca 2019

Które serwery Oracle WebLogic są nadal podatne na atak CVE-2019-2729?

Niezależnie od korelacji lub związku z poprzednim błędem bezpieczeństwa, kilku analityków bezpieczeństwa aktywnie zgłosiło firmie Oracle nową lukę zero-day w oprogramowaniu WebLogic. Według badaczy błąd podobno dotyczy Oracle WebLogic Server w wersjach 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.

Co ciekawe, jeszcze przed wydaniem poprawki zabezpieczeń przez Oracle było kilka obejść dla administratorów systemu. Tym, którzy chcieli szybko zabezpieczyć swoje systemy, zaproponowano dwa oddzielne rozwiązania, które nadal mogły działać:

Scenariusz 1: znajdź i usuń wls9_async_response.war, wls-wsat.war i zrestartuj usługę Weblogic. Scenariusz 2: kontroluje dostęp do adresów URL dla ścieżek / _async / * i / wls-wsat / * przez kontrolę zasad dostępu.

Badacze bezpieczeństwa byli w stanie wykryć około 42 000 serwerów WebLogic z dostępem do Internetu. Nie trzeba wspominać, że większość atakujących, którzy chcą wykorzystać tę lukę, atakuje sieci korporacyjne. Wydaje się, że głównym celem ataku jest upuszczenie złośliwego oprogramowania do wydobywania kryptowalut. Serwery mają jedne z najpotężniejszych mocy obliczeniowych, a takie złośliwe oprogramowanie dyskretnie wykorzystuje to samo do wydobywania kryptowaluty. Niektóre raporty wskazują, że osoby atakujące wdrażają złośliwe oprogramowanie do kopania Monero. Wiadomo nawet, że hakerzy używali plików certyfikatów do ukrywania złośliwego kodu wariantu złośliwego oprogramowania. Jest to dość powszechna technika unikania wykrycia przez oprogramowanie chroniące przed złośliwym oprogramowaniem.

Zalecana: