Kritische kwetsbaarheid in de Oracle WebLogic Server component van de Oracle Fusion Middleware
CVE: CVE-2018-3191
CVE: CVE-2018-3197
CVE: CVE-2018-3201
CVE: CVE-2018-3245
CVE: CVE-2018-3252
CVSS: 9.8
Bronnen
• https://www.oracle.com/technetwork/topics/security/alerts-086861.html
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3191
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3197
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3201
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3245
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3252
Risico’s
Een succesvolle exploitatie van deze kwetsbaarheden kan leiden tot een overname van de Oracle WebLogic Server waardoor een aanvaller zonder toegang tot de server, maar met netwerktoegang via het Oracle T3 protocol, volledige toegang kan krijgen tot deze server.
Beschrijving
Deze kwetsbaarheden laten de ongeautoriseerde aanvaller met netwerktoegang toe via het Oracle T3 protocol, de Oracle WebLogice server te compromitteren.
Deze kwetsbaarheden staan geregistreerd als CVE-2018-3191,3197,3201,3245 en 3252.
Aan deze CVE’s werd een kritieke status toegekend en een dreigingsniveau met een score van 9.8 op de schaal van CVSSv3. Verschillende redenen voor deze score zijn de mogelijke gevolgen, de remote exploitation factor en easy of exploitation.
Details over deze kwetsbaarheid zijn nooit publiek bekend gemaakt, maar Oracle heeft wel patches beschikbaar gemaakt voor deze bugs. Echter zijn er verschillende Proof of Concepts (POC) gepubliceerd en worden deze al gebruikt door aanvallers om de aanval te automatiseren.
Aanbevolen acties
CERT.be raadt gebruikers aan om hun systemen altijd up-to-date te houden. Patches kunnen worden gedownload op de website van de leverancier op het volgende adres:
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296....
CERT.be raadt aan om deze kritieke patches zo snel mogelijk te installeren!