Outro dia, outra vulnerabilidade. O mantra de segurança cibernética está nos trazendo outro problema sério no Oracle WebLogic Server.
a vulnerabilidade, identificado como CVE-2019-2568, é facilmente explorável e pode permitir que um invasor com baixos privilégios e acesso à rede via HTTP comprometa o Oracle WebLogic Server. A vulnerabilidade foi descoberta por KnownSec 404.
CVE-2019-2568 Descrição oficial
Vulnerabilidade no componente do Oracle WebLogic Server da Oracle Fusion Middleware (subcomponente: Componentes principais WLS). As versões suportadas que são afetados são 10.3.6.0.0, 12.1.3.0.0 e 12.2.1.3.0. A vulnerabilidade facilmente explorável permite que um invasor com poucos privilégios com acesso à rede via HTTP comprometa o Oracle WebLogic Server.
Deve-se observar que embora a falha esteja localizada no Oracle WebLogic Server, ataques também podem afetar significativamente produtos adicionais. Ataques baseados em CVE-2019-2568 podem resultar em atualização não autorizada, e os invasores também podem inserir ou excluir o acesso a alguns dados acessíveis do Oracle WebLogic Server.
A falha de dia zero parece ser direcionada à solta, o que significa que vários servidores vulneráveis estão em risco. A Oracle está ciente da exploração. Contudo, já que a empresa acaba de lançar sua atualização de segurança trimestral quatro dias antes da descoberta do bug, seu patch pode levar algum tempo. A Oracle lança atualizações de segurança a cada três meses, o que significa que o CVE-2019-2568 será resolvido em três meses.
Quem é afetado? Mais que 36,000 servidores WebLogic publicamente acessíveis estão atualmente vulneráveis. Antes que o patch oficial chegue, as partes afetadas terão que utilizar soluções alternativas para evitar ataques.
Para evitar ataques, A recomendação do KnownSec 404 é remover os componentes vulneráveis e reiniciar seus servidores WebLogic, ou implantar regras de firewall para evitar solicitações para dois caminhos de URL que são explorados à solta ( /_async / * e / wls-wsat / *).
Os servidores Oracle WebLogic têm sido visados continuamente nos últimos meses, especialmente por hackers que realizam campanhas de criptominação. CVE-2017-10271 se tornou uma das vulnerabilidades preferidas dos atacantes. Ataques baseados neste bug específico foram detectados em janeiro do ano passado, quando os cibercriminosos visavam os servidores de banco de dados nos chamados ataques duplos de minerador Monero.
Esta foi considerada uma nova tática, pois foi usada de uma forma não tradicional. Depois que as máquinas foram impactadas pelo código de exploração, dois softwares de mineração separados foram instituídos nos dispositivos comprometidos.