Сегодня группа исследователей в области кибербезопасности опубликовала сообщение, в котором предприятия предупреждают о крайне критической уязвимости нулевого дня в серверном приложении Oracle WebLogic, которую некоторые злоумышленники, возможно, уже начали использовать в условиях дикой природы.
Oracle WebLogic - это масштабируемый многоуровневый сервер корпоративных приложений на основе Java, который позволяет предприятиям быстро развертывать новые продукты и услуги в облаке. Он популярен как в облачной среде, так и в обычных средах.
Как сообщается, приложение Oracle WebLogic содержит критическую уязвимость удаленного выполнения десериализации, которая затрагивает все версии программного обеспечения, которая может быть запущена, если включены компоненты «wls9_async_response.war» и «wls-wsat.war».
Уязвимость, обнаруженная исследователями из KnownSec 404, позволяет злоумышленникам удаленно выполнять произвольные команды на уязвимых серверах, просто отправляя специально созданный HTTP-запрос - без необходимости авторизации.
«Поскольку в пакете WAR есть ошибка при десериализации входной информации, злоумышленник может получить полномочия целевого сервера, отправив тщательно сконструированный вредоносный HTTP-запрос, и выполнить команду удаленно без авторизации», - объясняет Китайская национальная платформа обмена уязвимостями информационной безопасности (CNVD).
Исследователи также поделились подробностями об уязвимости нулевого дня, обозначаемой командой Oracle как CNVD-C-2019-48814, однако компания еще не выпустила патч. Уязвимые версии Oracle WebLogic:
WebLogic 10.X
WebLogic 12.1.3
По данным поисковой системы киберпространства ZoomEye, более 36 000 серверов WebLogic находятся в общем доступе в Интернете, хотя неизвестно, на скольких из них включены уязвимые компоненты.
Максимальное количество серверов Oracle WebLogic развернуто в Соединенных Штатах и Китае, меньшее количество - в Иране, Германии, Индии и т. Д.
Поскольку Oracle выпускает обновления безопасности каждые три месяца и уже выпустила критическое обновление исправлений только в этом месяце, вряд ли эта проблема нулевого дня будет исправлена в ближайшее время (т.е. не до июля), если только компания не решит выпустить обновление безопасности раньше.
Поэтому до тех пор, пока компания не выпустит обновление для исправления этой уязвимости, администраторам серверов настоятельно рекомендуется предотвращать эксплуатацию их систем, изменяя один из двух следующих параметров:
Поиск и удаление wls9_async_response.war, wls-wsat.war и перезапуск службы Weblogic
или
Запрет доступа к URL-путям / _async / * и / wls-wsat / * через управление политикой доступа.
Так как серверы Oracle WebLogic часто являются целью злоумышленников, неудивительно, что злоумышленники уже начали использовать этот нулевой день и затем используют уязвимые серверы в своих гнусных целях.
=================================================================Если хочешь видеть еще больше полезного и познавательного материала — подписывайся на мой канал!