Orākuls
Oracle atzina aktīvi izmantoto drošības ievainojamību savos populārajos un plaši izvietotajos WebLogic serveros. Lai gan uzņēmums ir izdevis plāksteri, lietotājiem ir jāatjaunina savas sistēmas, jo WebLogic nulles dienas kļūda pašlaik tiek aktīvi izmantota. Drošības kļūda ir atzīmēta ar “kritiskā smaguma” līmeni. Kopējās ievainojamības vērtēšanas sistēmas rezultāts vai CVSS bāzes rādītājs ir satraucošs 9.8.
Orākuls nesen uzrunāts kritiska ievainojamība, kas ietekmē tā WebLogic serverus. Kritiskā WebLogic nulles dienas ievainojamība apdraud lietotāju tiešsaistes drošību. Kļūda potenciāli var ļaut attālajam uzbrucējam iegūt pilnīgu administratīvo kontroli pār upuri vai mērķa ierīcēm. Ja tas nav pietiekami, pēc nokļūšanas tālvadības uzbrucējs var viegli izpildīt patvaļīgu kodu. Koda izvietošanu vai aktivizēšanu var veikt attālināti. Lai gan Oracle ir ātri izdevis sistēmas plāksteri, servera administratoriem ir jāizvieto vai jāinstalē atjauninājums, jo tiek uzskatīts, ka šī WebLogic nulles dienas kļūda tiek aktīvi izmantota.
Oracle drošības brīdinājuma padomnieks, kas oficiāli apzīmēts kā CVE-2019-2729, norāda, ka draudi ir “deserializācijas ievainojamība, izmantojot Oracle WebLogic Server Web Services XMLDecoder. Šī attālinātā koda izpildes ievainojamība ir attālināti izmantojama bez autentifikācijas, t.i., to var izmantot tīklā, neprasot lietotājvārdu un paroli. ”
CVE-2019-2729 drošības ievainojamība ir nopelnījusi kritisko smaguma pakāpi. CVSS bāzes rezultāts 9,8 parasti tiek rezervēts vissmagākajiem un kritiskākajiem drošības apdraudējumiem. Citiem vārdiem sakot, WebLogic servera administratoriem par prioritāti jāizvirza Oracle izdotā plākstera izvietošana.
Oracle WebLogic attālā koda izpilde (CVE-2019-2729): https://t.co/xbfME9whWl # drošība pic.twitter.com/oyOyFybNfV
- F5 DevCentral (@ devcentral) 2019. gada 25. jūnijs
Nesen veiktais ķīniešu KnownSec 404 Team pētījums apgalvo, ka drošības ievainojamība tiek aktīvi meklēta vai izmantota. Komanda ļoti uzskata, ka jaunais izmantojums būtībā ir apiet iepriekš zināmās kļūdas plāksteri, kas oficiāli apzīmēts kā CVE-2019–2725. Citiem vārdiem sakot, komanda uzskata, ka Oracle, iespējams, netīšām ir atstājis nepilnību pēdējā ielāpā, kas bija paredzēts, lai novērstu iepriekš atklātu drošības trūkumu. Tomēr Oracle ir oficiāli paskaidrojis, ka tikko novērstā drošības ievainojamība nav pilnīgi saistīta ar iepriekšējo. Iekšā emuāra ziņas mērķis bija sniegt skaidrojumu apmēram tā pats Džons Heimans, VP Drošības programmu pārvaldības nodaļas vadītājs, atzīmēja: 'Lūdzu, ņemiet vērā, ka, lai gan šajā brīdinājumā apskatītā problēma ir deserializācijas ievainojamība, tāpat kā drošības brīdinājumā CVE-2019-2725, tā ir izteikta ievainojamība.'
Ievainojamību viegli var izmantot uzbrucējs ar piekļuvi tīklam. Uzbrucējam ir nepieciešama tikai piekļuve, izmantojot HTTP, kas ir viens no visizplatītākajiem tīkla veidiem. Uzbrucējiem nav nepieciešami autentifikācijas akreditācijas dati, lai tīklā izmantotu ievainojamību. Ievainojamības izmantošana var izraisīt mērķēto Oracle WebLogic serveru pārņemšanu.
Tīmekļa žurnāls XMLDecoder RCE
sākums no CVE-2017-3506, beigas CVE-2019-2729. Mēs tracinām Oracle, beidzot viņi izmanto WHITELIST, lai to labotu. pic.twitter.com/CWXN6zVAsQ- pyn3rd (@ pyn3rd) 2019. gada 20. jūnijs
Kuri Oracle WebLogic serveri joprojām ir ievainojami CVE-2019-2729?
Neatkarīgi no korelācijas vai savienojuma ar iepriekšējo drošības kļūdu, vairāki drošības pētnieki aktīvi ziņoja par jauno WebLogic nulles dienu ievainojamību Oracle. Pēc pētnieku domām, kļūda, kā ziņots, ietekmē Oracle WebLogic Server versijas 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.
Interesanti, ka pat pirms Oracle izdeva drošības plāksteri, sistēmas administratoriem bija daži risinājumi. Tiem, kas vēlējās ātri aizsargāt savas sistēmas, tika piedāvāti divi atsevišķi risinājumi, kas joprojām varētu darboties:
1. scenārijs: atrodiet un izdzēsiet wls9_async_response.war, wls-wsat.war un restartējiet Weblogic pakalpojumu. 2. scenārijs: kontrolē URL piekļuvi ceļiem / _async / * un / wls-wsat / *, izmantojot piekļuves politikas kontroli.
Drošības pētniekiem izdevās atklāt aptuveni 42 000 internetam pieejamu WebLogic serveru. Lieki pieminēt, ka lielākā daļa uzbrucēju, kuri vēlas izmantot ievainojamību, ir vērsti uz korporatīvajiem tīkliem. Galvenais uzbrukuma nolūks, šķiet, ir kriptogrāfijas ieguves ļaunprogrammatūras nomešana. Serveriem ir dažas no jaudīgākajām skaitļošanas jaudām, un šāda ļaunprogrammatūra to atturīgi izmanto kriptonauda. Daži ziņojumi liecina, ka uzbrucēji izvieto ļaunprogrammatūru Monero-mine. Uzbrucēji pat zināja, ka ir izmantojuši sertifikātu failus, lai paslēptu ļaunprātīgas programmatūras varianta ļaunprātīgo kodu. Tas ir diezgan izplatīts paņēmiens, lai izvairītos no atklāšanas, izmantojot pret ļaunprātīgu programmatūru.
