Oracle
Oracle thừa nhận đã tích cực khai thác lỗ hổng bảo mật trong các máy chủ WebLogic phổ biến và được triển khai rộng rãi của mình. Mặc dù công ty đã phát hành bản vá, nhưng người dùng phải cập nhật hệ thống của họ sớm nhất vì lỗi 0 ngày WebLogic hiện đang được khai thác tích cực. Lỗ hổng bảo mật đã được gắn thẻ với mức độ 'nghiêm trọng nghiêm trọng'. Điểm Hệ thống Chấm điểm Lỗ hổng Phổ biến hoặc điểm cơ sở CVSS là 9,8 đáng báo động.
Oracle giải quyết gần đây một lỗ hổng nghiêm trọng ảnh hưởng đến các máy chủ WebLogic của nó. Lỗ hổng WebLogic zero-day nghiêm trọng đe dọa bảo mật trực tuyến của người dùng. Lỗi có thể cho phép kẻ tấn công từ xa giành được quyền kiểm soát quản trị hoàn toàn đối với nạn nhân hoặc thiết bị mục tiêu. Nếu điều đó là chưa đủ, khi vào bên trong, kẻ tấn công từ xa có thể dễ dàng thực thi mã tùy ý. Việc triển khai hoặc kích hoạt mã có thể được thực hiện từ xa. Mặc dù Oracle đã nhanh chóng đưa ra bản vá cho hệ thống nhưng việc triển khai hoặc cài đặt bản cập nhật này là tùy thuộc vào quản trị viên máy chủ vì lỗi không ngày WebLogic này được coi là đang được khai thác tích cực.
Cố vấn Cảnh báo bảo mật của Oracle, được chính thức gắn thẻ là CVE-2019-2729, đề cập đến mối đe dọa là, “lỗ hổng giải mã qua XMLDecoder trong Dịch vụ web máy chủ Oracle WebLogic. Lỗ hổng thực thi mã từ xa này có thể bị khai thác từ xa mà không cần xác thực, tức là có thể bị khai thác qua mạng mà không cần tên người dùng và mật khẩu ”.
Lỗ hổng bảo mật CVE-2019-2729 đã đạt được mức độ nghiêm trọng nghiêm trọng. Điểm cơ bản của CVSS là 9,8 thường được dành cho các mối đe dọa bảo mật nghiêm trọng và nghiêm trọng nhất. Nói cách khác, quản trị viên máy chủ WebLogic phải ưu tiên triển khai bản vá do Oracle phát hành.
Thực thi mã từ xa Oracle WebLogic (CVE-2019-2729): https://t.co/xbfME9whWl #Bảo vệ pic.twitter.com/oyOyFybNfV
- F5 DevCentral (@devcentral) 25 tháng 6, 2019
Một nghiên cứu được thực hiện gần đây bởi Đội ngũ KnowSec 404 của Trung Quốc tuyên bố rằng lỗ hổng bảo mật đang được theo đuổi hoặc sử dụng tích cực. Nhóm nghiên cứu cảm thấy mạnh mẽ về việc khai thác mới về cơ bản là một bản vá lỗi của một lỗi đã biết trước đây được chính thức gắn thẻ là CVE-2019–2725. Nói cách khác, nhóm nghiên cứu cảm thấy Oracle có thể đã vô tình để lại một lỗ hổng trong bản vá cuối cùng nhằm giải quyết một lỗ hổng bảo mật đã được phát hiện trước đó. Tuy nhiên, Oracle đã chính thức làm rõ rằng lỗ hổng bảo mật vừa được giải quyết hoàn toàn không liên quan đến lỗ hổng bảo mật trước đó. Trong một bài đăng trên blog nhằm mục đích làm rõ tương tự, John Heimann, VP Quản lý Chương trình Bảo mật, lưu ý, 'Xin lưu ý rằng mặc dù vấn đề được giải quyết bởi cảnh báo này là lỗ hổng giải mã, giống như được giải quyết trong Cảnh báo bảo mật CVE-2019-2725, đó là một lỗ hổng riêng biệt.'
Lỗ hổng có thể dễ dàng bị kẻ tấn công khai thác bằng quyền truy cập mạng. Kẻ tấn công chỉ yêu cầu quyền truy cập qua HTTP, một trong những con đường mạng phổ biến nhất. Những kẻ tấn công không cần thông tin xác thực để khai thác lỗ hổng bảo mật qua mạng. Việc khai thác lỗ hổng có thể dẫn đến việc chiếm các máy chủ Oracle WebLogic được nhắm mục tiêu.
Weblogic XMLDecoder RCE
bắt đầu từ CVE-2017-3506, kết thúc vào CVE-2019-2729. Chúng tôi khiến Oracle phát điên, cuối cùng họ đã sử dụng WHITELIST để sửa chữa. pic.twitter.com/CWXN6zVAsQ- pyn3rd (@ pyn3rd) 20 tháng 6, 2019
Máy chủ WebLogic Oracle nào còn dễ bị tấn công với CVE-2019-2729?
Bất kể mối tương quan hay mối liên hệ với lỗi bảo mật trước đó, một số nhà nghiên cứu bảo mật đã tích cực báo cáo lỗ hổng zero-day mới của WebLogic cho Oracle. Theo các nhà nghiên cứu, lỗi này đã ảnh hưởng đến Oracle WebLogic Server phiên bản 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.
Điều thú vị là ngay cả trước khi Oracle phát hành bản vá bảo mật, đã có một số cách giải quyết cho các quản trị viên hệ thống. Những người muốn nhanh chóng bảo vệ hệ thống của họ đã được cung cấp hai giải pháp riêng biệt mà vẫn có thể hoạt động:
Tình huống-1: Tìm và xóa wls9_async_response.war, wls-wsat.war và khởi động lại dịch vụ Weblogic. Tình huống-2: Kiểm soát quyền truy cập URL cho các đường dẫn / _async / * và / wls-wsat / * bằng cách kiểm soát chính sách truy cập.
Các nhà nghiên cứu bảo mật đã có thể phát hiện ra khoảng 42.000 máy chủ WebLogic có thể truy cập Internet. Không cần phải đề cập, phần lớn những kẻ tấn công đang tìm cách khai thác lỗ hổng này đang nhắm vào các mạng công ty. Mục đích chính đằng sau cuộc tấn công dường như là loại bỏ phần mềm độc hại khai thác tiền điện tử. Máy chủ có một số sức mạnh tính toán mạnh mẽ nhất và phần mềm độc hại như vậy sử dụng một cách kín đáo để đào tiền điện tử. Một số báo cáo cho thấy những kẻ tấn công đang triển khai phần mềm độc hại khai thác Monero. Những kẻ tấn công thậm chí còn được biết là đã sử dụng các tệp chứng chỉ để ẩn mã độc hại của biến thể phần mềm độc hại. Đây là một kỹ thuật khá phổ biến để tránh bị phát hiện bởi phần mềm chống phần mềm độc hại.
