WebLogic Server Sıfır Gün Güvenlik Açığı Yaması Yayınlandı, Oracle Cautions Exploit Hâlâ Etkin

Oracle, popüler ve geniş çapta konuşlandırılan WebLogic sunucularında güvenlik açıklarından aktif olarak yararlanıldığını kabul etti. Şirket bir yama yayınlamış olsa da, kullanıcılar sistemlerini en erken zamanda güncellemelidir çünkü WebLogic sıfırıncı gün hatası şu anda aktif kullanım altındadır. Güvenlik açığı, "kritik önem seviyesi" ile etiketlendi. Ortak Güvenlik Açığı Puanlama Sistemi puanı veya CVSS taban puanı endişe verici bir 9.8'dir.

Oracle, kısa süre önce WebLogic sunucularını etkileyen kritik bir güvenlik açığını ele aldı. Kritik WebLogic sıfır gün güvenlik açığı, kullanıcıların çevrimiçi güvenliğini tehdit ediyor. Hata, potansiyel olarak uzaktaki bir saldırganın kurbanın veya hedef cihazların tam yönetim kontrolünü ele geçirmesine izin verebilir. Bu yeterince ilgili değilse, içeri girdikten sonra, uzaktaki saldırgan kolaylıkla keyfi kod çalıştırabilir. Kodun konuşlandırılması veya etkinleştirilmesi uzaktan yapılabilir. Oracle sistem için hızlı bir şekilde bir yama yayınlamış olsa da, bu WebLogic sıfır gün hatasının aktif istismar altında olduğu düşünüldüğünden güncellemeyi dağıtmak veya kurmak sunucu yöneticilerine kalmıştır.

Resmen CVE-2019-2729 olarak etiketlenen Oracle Güvenlik Uyarısı danışmanı, tehdidin “Oracle WebLogic Server Web Servislerinde XMLDecoder aracılığıyla seriyi kaldırma güvenlik açığından bahsediyor. Bu uzaktan kod yürütme güvenlik açığından, kimlik doğrulama olmaksızın uzaktan yararlanılabilir, yani bir kullanıcı adı ve parola gerekmeden bir ağ üzerinden yararlanılabilir. "

CVE-2019-2729 güvenlik açığı, kritik bir önem düzeyi kazanmıştır. CVSS taban puanı 9,8, genellikle en ciddi ve kritik güvenlik tehditleri için ayrılmıştır. Diğer bir deyişle, WebLogic sunucu yöneticileri, Oracle tarafından yayınlanan yamanın dağıtımına öncelik vermelidir.

Çin KnownSec 404 Ekibi tarafından yakın zamanda yapılan bir araştırma, güvenlik açığının aktif olarak takip edildiğini veya kullanıldığını iddia ediyor. Ekip, yeni istismarın, resmi olarak CVE-2019–2725 olarak etiketlenmiş önceden bilinen bir hatanın yaması için bir atlama olduğunu kuvvetle düşünüyor. Başka bir deyişle, ekip, Oracle'ın daha önce keşfedilen bir güvenlik açığını gidermek için son yamada istemeden bir boşluk bırakmış olabileceğini düşünüyor. Ancak Oracle, henüz ele alınan güvenlik açığının bir öncekiyle tamamen ilgisiz olduğunu resmen açıkladı. Aynı konuda açıklama sunması amaçlanan bir blog gönderisinde, Güvenlik Programı Yönetim Başkan Yardımcısı John Heimann, "Bu uyarıyla ele alınan sorunun, Güvenlik Uyarısı CVE-2019-2725'te ele alınan gibi seriyi kaldırma güvenlik açığı olduğunu lütfen unutmayın. ayrı bir güvenlik açığıdır. "

Güvenlik açığından, ağ erişimine sahip bir saldırgan tarafından kolayca kullanılabilir. Saldırgan, yalnızca en yaygın ağ yollarından biri olan HTTP üzerinden erişime ihtiyaç duyar. Saldırganların bu güvenlik açığından ağ üzerinden yararlanmaları için kimlik doğrulama bilgilerine ihtiyaçları yoktur. Güvenlik açığından yararlanılması, potansiyel olarak hedeflenen Oracle WebLogic sunucularının devralınmasıyla sonuçlanabilir.

Hangi Oracle WebLogic Sunucuları CVE-2019-2729'a Karşı Savunmasız Kalmaktadır?

Önceki güvenlik hatasıyla olan korelasyon veya bağlantıdan bağımsız olarak, birkaç güvenlik araştırmacısı yeni WebLogic sıfır gün açıklığını aktif olarak Oracle'a bildirdi. Araştırmacılara göre, hatanın Oracle WebLogic Server'ın 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 sürümlerini etkilediği bildiriliyor.

İlginç bir şekilde, Oracle güvenlik yamasını yayınlamadan önce bile, sistem yöneticileri için birkaç geçici çözüm vardı. Sistemlerini hızlı bir şekilde korumak isteyenlere, hala işe yarayabilecek iki ayrı çözüm sunuldu:

Güvenlik araştırmacıları, yaklaşık 42.000 İnternet erişimli WebLogic sunucusunu keşfetmeyi başardılar. Söylemeye gerek yok, bu güvenlik açığından yararlanmak isteyen saldırganların çoğu kurumsal ağları hedefliyor. Saldırının arkasındaki birincil amaç, kripto madenciliği kötü amaçlı yazılımını düşürmek gibi görünüyor. Sunucular, en güçlü bilgi işlem gücünden bazılarına sahiptir ve bu tür kötü amaçlı yazılımlar, kripto para madenciliği yapmak için aynı şeyi gizlice kullanır. Bazı raporlar, saldırganların Monero-madencilik kötü amaçlı yazılımları kullandığını gösteriyor. Saldırganların, kötü amaçlı yazılım türünün kötü amaçlı kodunu gizlemek için sertifika dosyalarını kullandığı bile biliniyordu. Bu, kötü amaçlı yazılımdan koruma yazılımı tarafından tespit edilmekten kaçınmak için oldukça yaygın bir tekniktir.

Facebook Twitter Google Plus Pinterest