Oracle WebLogic Flaw İçin Hata Düzeltme Eki, Güncelleme Sunucularını Tekrar Hacker’lara Açıyor

Oracle bu ayın başlarında Fusion Middleware ürününün WebLogic Server bileşeninde saldırıya açık bir sunucunun kolayca kontrolünü ele geçirmesine olanak tanıyan yüksek düzeyde bir Java deserialization uzaktan kod yürütme güvenlik açığı ekledi .

Ancak, Twitter’dan @ pyn3rd aracılığıyla çalışan ve Alibaba güvenlik ekibinin bir parçası olduğunu iddia eden bir güvenlik araştırmacısı, artık saldırganların güvenlik yamasını atlayıp WebLogic güvenlik açığından bir kez daha yararlanabileceği bir yol buldu.

WebLogic Server, çok katmanlı bir kurumsal uygulamanın ön uç kullanıcı arayüzü ve arka uç veritabanı arasında bir orta katman görevi görür. Tüm bileşenler için eksiksiz bir servis seti sağlar ve uygulama davranışının ayrıntılarını otomatik olarak ele alır.

İlk olarak Kasım ayında NSFOCUS güvenlik ekibinden Liao Xinxi tarafından keşfedilen Oracle WebLogic Server hatası (CVE-2018-2628), 7001 numaralı TCP bağlantı noktası üzerinden ağ erişimi ile kullanılabilir.

[youtube https://www.youtube.com/watch?v=ys9B1CWf8GI&w=560&h=315]

Başarısız bir şekilde istismar edildiyse, kusur uzak bir saldırganın savunmasız bir Oracle WebLogic Sunucusunu tamamen ele geçirmesine izin verebilir. Güvenlik açığı 10.3.6.0, 12.1.3.0, 12.2.1.2 ve 12.2.1.3 sürümlerini etkiler. Orijinal Oracle WebLogic Server güvenlik açığı için bir kavram kanıtı ( PoC ) istismarının Github üzerinde halka açılmış olması ve birisinin de yamayı atlatması nedeniyle, güncel hizmetleriniz yine saldırıya uğrama riskiyle karşı karşıyadır.

@ Pyn3rd, tam bypass kodu veya teknik detaylar vermek yerine sadece kısa bir GIF (video) kavram kanıtı (video) yayınlamış olmasına rağmen, yetenekli hackerlar için bir yol bulması birkaç saat veya bir gün sürmez. aynı ulaşmak için.

Şu anda, Oracle’ın CVE-2018-2628 kusurunu yeniden açan bu sorunu gidermek için yeni bir güvenlik güncelleştirmesi yayınlayacağı kesin değildir.

En az bir adım daha güvenli olmak için, henüz saldırganların Internet’i savunmasız WebLogic sunucularında taramaya başladıkları için henüz Oracle’ın yayınladığı Nisan yama güncellemesini yüklemeniz önerilir .