Cảnh báo về lỗ hổng thực thi mã từ xa trên ORACLE WebLogic
13:04:00 | 24-06-2019
Giới thiệu các lỗ hổng
Oracle vừa phát hành bản cập nhật phần mềm khẩn cấp, vá lỗ hổng nghiêm trọng mới bị phát hiện trong Máy chủ WebLogic.
Theo Oracle, lỗ hổng an ninh CVE-2019-2729 có điểm CVSS là 9,8/10 đã bị một nhóm kẻ tấn công giấu tên khai thác trên thực tế.
Oracle WebLogic là một máy chủ ứng dụng doanh nghiệp đa tầng trên nền tảng Java, cho phép các doanh nghiệp triển khai nhanh chóng các sản phẩm và dịch vụ mới trên đám mây, phổ biến trên cả môi trường đám mây và môi trường thông thường.
Đây là một lỗi chuyển đổi cấu trúc dữ liệu (deserialization) qua XMLDecoder trong các Dịch vụ web của Máy chủ Oracle WebLogic, có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý trái phép trên các máy chủ mục tiêu và kiểm soát chúng.
"Lỗ hổng thực thi mã từ xa này có thể bị khai thác từ xa mà không cần xác thực, tức là, có thể bị khai thác qua mạng mà không cần tên người dùng và mật khẩu", theo khuyến cáo của hãng.
Trong một lưu ý khác, Oracle cũng tiết lộ lỗi này có liên quan đến một lỗ hổng deserialization trước đó (CVE-2019-2725) trong Máy chủ Oracle WebLogic và đã được vá trong tháng 4.
Lỗ hổng CVE-2019-2725 trong Oracle WebLogic đã được vá cũng từng bị khai thác như một lỗ hổng zero-day, nhằm phát tán mã độc tống tiền và mã độc đào tiền ảo.

oracle.jpg ​

Đối tượng bị ảnh hưởng
Lỗ hổng mới ảnh hưởng đến các phiên bản Máy chủ Oracle WebLogic 10.3.6.0.0, 12.1.3.0.0 và 12.2.1.3.0
Cách kiểm tra và xử lý
Để kiểm tra phiên bản Oracle WebLogic Server, quản trị viên có thể dùng một trong các cách sau:
1. Sử dụng tệp registry.xml nằm trong thư mục MW_HOME.
Dòng hiển thị thông tin phiên bản tương tự như:

<component name=”WebLogic Server” version=”10.3.4.0″ InstallDir=”/u01/weblogic/Oracle/Middleware/wlserver_10.3″&gt;

2. Sử dụng .product.properties nằm trong thư mục WLS_HOME.
Dòng hiển thị thông tin phiên bản tương tự như:

WLS_PRODUCT_VERSION=10.3.4.0

3. Sử dụng Oracle Weblogic Server Administration Console
Sử dụng menu bên trái để điều hướng đến Environment -&gt; Servers. Tiếp theo, chọn tab Monitoring để hiển thị thông tin phiên bản.
Nếu phát hiện phiên bản hiện tại đang sử dụng đang bị ảnh hưởng bởi lỗ hổng thì phải tiến hành update để xử lý các lỗ hổng.
Nếu không thể vá ngay lập tức, có thể chọn giải pháp vá tạm thời. Hai giải pháp vá tạm thời được đề xuất:
- Xóa " wls9_async_response.war " và " wls-wsat.war " sau đó khởi động lại dịch vụ WebLogic
- Thực thi chính sách điều khiển truy cập và truy cập URL theo đường dẫn "/_async/*" và "/wls-wsat/*
 

BQT WhiteHat Forum