Kwetsbaarheid in het Oracle Weblogic Server component van Oracle Fusion Middleware
CVE: CVE-2018-2893
CVSS: 9.8
Bronnen
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2893
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
http://blog.netlab.360.com/malicious-campaign-luoxk-is-actively-exploiting-cve-2018-2893/
https://www.bleepingcomputer.com/news/security/attacks-on-oracle-weblogic-servers-detected-after-publication-of-poc-code/
Risico’s
Het succesvol misbruiken van deze kwetsbaarheid kan resulteren in de overname van de volledige Oracle Weblogic Server, zonder dat de aanvaller het wachtwoord kent. Er zijn verschillende rapporten gekend, die het succesvol misbruiken van de kwetsbaarheid bevestigen.
Beschrijving
Een niet-geauthentiseerde aanvaller met netwerktoegang en gebruikmakend van het Oracle T3-protocol kan de WebLogic Server volledig compromitteren. Deze kwetsbaarheid stelt een aanvaller in staat om controle te krijgen over de gehele server zonder het wachtwoord te kennen. Deze kwetsbaarheid is geregistreerd als CVE-2018-2893 en heeft een "kritische" status en een score van 9.8/10 op de CVSSv3 schaal vanwege de gevolgen, de uitbuiting op afstand en de lage moeilijkheidsgraad om deze aanval uit te voeren.
Details over deze kwetsbaarheid werden nooit openbaar gemaakt. Oracle heeft op 18/7/2018 updates vrijgegeven. Sinds die datum zijn er echter verschillende proof of concepts (POC’s) gepubliceerd die deze kwetsbaarheid misbruiken, bovendien zijn aanvallers gestart met het gebruiken en automatiseren van de POC.
Aanbevolen acties
CERT.be raadt gebruikers altijd aan om systemen up-to-date te houden.
Beveiligings-updates: http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
CERT.be raadt aan poort 7001 enkel toegankelijk te maken voor systemen die deze werkelijk nodig hebben.