WebLogic Server Zero-Day kwetsbaarheidspatch uitgegeven, Oracle-waarschuwingen Exploit nog steeds actief
Oracle erkende actief misbruik te maken van beveiligingsproblemen in zijn populaire en wijdverbreide WebLogic-servers. Hoewel het bedrijf een patch heeft uitgegeven, moeten gebruikers hun systemen op zijn vroegst updaten omdat de WebLogic zero-day-bug momenteel actief wordt misbruikt. Het beveiligingslek is getagd met het niveau "kritieke ernst". De Common Vulnerability Scoring System-score of CVSS-basisscore is een alarmerende 9,8.
Oracle heeft onlangs een kritieke kwetsbaarheid aangepakt die zijn WebLogic-servers aantast. De kritieke WebLogic zero-day kwetsbaarheid bedreigt de online veiligheid van gebruikers. De bug kan een externe aanvaller mogelijk in staat stellen volledige administratieve controle over het slachtoffer of de doelapparaten te krijgen. Als dat nog niet genoeg is, kan de externe aanvaller, eenmaal binnen, gemakkelijk willekeurige code uitvoeren. De implementatie of activering van de code kan op afstand worden gedaan. Hoewel Oracle snel een patch voor het systeem heeft uitgebracht, is het aan de serverbeheerders om de update te implementeren of te installeren, aangezien deze WebLogic zero-day-bug als actief wordt misbruikt.
De Security Alert-adviseur van Oracle, officieel getagd als CVE-2019-2729, noemt de dreiging "deserialisatiekwetsbaarheid via XMLDecoder in Oracle WebLogic Server Web Services. Deze kwetsbaarheid voor het uitvoeren van externe code kan op afstand worden misbruikt zonder authenticatie, d.w.z. kan worden misbruikt via een netwerk zonder dat een gebruikersnaam en wachtwoord nodig zijn."
Het beveiligingslek CVE-2019-2729 heeft een kritiek niveau van ernst bereikt. De CVSS-basisscore van 9,8 is meestal gereserveerd voor de meest ernstige en kritieke beveiligingsbedreigingen. Met andere woorden, WebLogic-serverbeheerders moeten prioriteit geven aan de implementatie van de patch uitgegeven door Oracle.
Een recent uitgevoerd onderzoek door het Chinese KnownSec 404 Team beweert dat de beveiligingskwetsbaarheid actief wordt nagestreefd of gebruikt. Het team is er sterk van overtuigd dat de nieuwe exploit in wezen een bypass is voor de patch van een eerder bekende bug die officieel is gelabeld als CVE-2019-2725. Met andere woorden, het team is van mening dat Oracle per ongeluk een maas in de wet heeft gelaten in de laatste patch die bedoeld was om een eerder ontdekte beveiligingsfout te verhelpen. Oracle heeft echter officieel verduidelijkt dat de zojuist geadresseerde beveiligingskwetsbaarheid volledig los staat van de vorige. In een blogpost die bedoeld is om hierover opheldering te geven, merkte John Heimann, VP Security Program Management, op: "Houd er rekening mee dat hoewel het probleem dat door deze waarschuwing wordt aangepakt deserialisatie-kwetsbaarheid is, zoals die wordt behandeld in Security Alert CVE-2019-2725, het is een duidelijke kwetsbaarheid.”
De kwetsbaarheid kan gemakkelijk worden misbruikt door een aanvaller met netwerktoegang. De aanvaller heeft alleen toegang nodig via HTTP, een van de meest voorkomende netwerkroutes. De aanvallers hebben geen authenticatiegegevens nodig om de kwetsbaarheid via een netwerk te misbruiken. Het misbruiken van de kwetsbaarheid kan mogelijk leiden tot de overname van de beoogde Oracle WebLogic-servers.
Welke Oracle WebLogic-servers blijven kwetsbaar voor CVE-2019-2729?
Ongeacht de correlatie of verbinding met de vorige beveiligingsbug, hebben verschillende beveiligingsonderzoekers de nieuwe WebLogic zero-day kwetsbaarheid actief gerapporteerd aan Oracle. Volgens onderzoekers treft de bug naar verluidt Oracle WebLogic Server-versies 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.
Interessant is dat zelfs voordat Oracle de beveiligingspatch uitbracht, er een paar tijdelijke oplossingen waren voor systeembeheerders. Degenen die hun systemen snel wilden beschermen, kregen twee afzonderlijke oplossingen aangeboden die nog steeds konden werken:
Beveiligingsonderzoekers konden ongeveer 42.000 via internet toegankelijke WebLogic-servers ontdekken. Onnodig te vermelden dat de meeste aanvallers die misbruik willen maken van de kwetsbaarheid zich richten op bedrijfsnetwerken. De primaire bedoeling van de aanval lijkt het laten vallen van cryptomining-malware. Servers hebben een van de krachtigste rekenkracht en dergelijke malware gebruikt discreet hetzelfde om cryptocurrency te minen. Sommige rapporten geven aan dat aanvallers Monero-mining-malware gebruiken. Het was zelfs bekend dat aanvallers certificaatbestanden gebruikten om de kwaadaardige code van de malwarevariant te verbergen. Dit is een vrij gebruikelijke techniek om detectie door anti-malwaresoftware te omzeilen.