Een andere dag, een andere kwetsbaarheid. De cybersecurity mantra geeft ons een ander ernstig probleem in Oracle WebLogic Server.
De kwetsbaarheid, geïdentificeerd als CVE-2019-2568, is eenvoudig te exploiteren en kan een aanvaller met een lage privileges en toegang tot het netwerk mogelijk te maken via HTTP naar Oracle WebLogic Server compromis. De kwetsbaarheid werd ontdekt door KnownSec 404.
CVE-2019-2568 Officiële Beschrijving
Door een beveiligingslek in de Oracle WebLogic Server component van Oracle Fusion Middleware (subonderdeel: WLS Core Components). Ondersteunde versies die worden beïnvloed zijn 10.3.6.0.0, 12.1.3.0.0 en 12.2.1.3.0. Eenvoudig te exploiteren kwetsbaarheid maakt laag bevoorrechte aanvaller toegang tot het netwerk via HTTP naar Oracle WebLogic Server compromis.
Opgemerkt dient te worden dat terwijl de fout ligt in Oracle WebLogic Server, aanvallen kunnen van grote invloed zijn aanvullende producten, alsmede. Aanvallen op basis van CVE-2019-2568 kan leiden tot ongeautoriseerde-update, en aanvallers kunnen ook invoegen of de toegang verwijderen om een aantal van Oracle WebLogic Server toegankelijke gegevens.
De zero-day lek lijkt te worden gericht in het wild zin dat kwetsbare meerdere servers zijn kwetsbaar. Oracle is zich bewust van de exploit. Echter, als het bedrijf net zijn driemaandelijkse beveiligingsupdate uitgebracht vier dagen voor de ontdekking van de bug's, haar patching kan enige tijd duren. Oracle brengt beveiligingsupdates om de drie maanden wat betekent dat CVE-2019-2568 gaat in drie maanden moeten worden aangepakt.
Wie is beïnvloed? Ruim 36,000 openbaar toegankelijke WebLogic-servers zijn kwetsbaar. Voorafgaand aan de officiële patch aankomt, betrokken partijen zal moeten oplossingen om aanvallen te voorkomen gebruiken.
Om aanvallen te voorkomen, KnownSec 404 aanbeveling is om ofwel verwijderen van de kwetsbare onderdelen en hun WebLogic servers herstart, of implementeren van firewall-regels op verzoeken om twee URL paden die worden uitgebuit in het wild voorkomen ( /_async / * en / WLS-WSAT / *).
Oracle WebLogic servers zijn continu gericht in de afgelopen maanden, vooral door hackers die cryptomining campagnes uit te voeren. CVE-2017-10.271 is uitgegroeid tot een van de meest geprefereerde kwetsbaarheden aanvallers. Aanvallen op basis van deze specifieke bug werden gedetecteerd in januari vorig jaar, wanneer cybercriminelen richtten databaseservers in de zogenaamde dubbele Monero mijnwerker aanvallen.
Dit werd beschouwd als een nieuwe tactiek als het werd gebruikt in een niet-traditionele manier. Nadat de machines werden beïnvloed door de exploit code, twee afzonderlijke mijnwerker software werden ingesteld op de besmette apparaten.