Oracle WebLogic Server getroffen door zero day Remote Code Execution kwetsbaarheid
CVE: Niet gekend - CNVD-2018-07811 (China National Vulnerability Database)
CVE Score: 9.8
Bronnen
https://isc.sans.edu/forums/diary/Unpatched+Vulnerability+Alert+WebLogic+Zero+Day/24880/
https://thehackernews.com/2019/04/oracle-weblogic-hacking.html
https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93
Risico’s
Er is een remote code execution kwetsbaarheid gevonden in de Oracle WebLogic Server software. Het geeft aanvallers de mogelijkheid om op afstand commando's uit te voeren door het versturen van een speciaal ontworpen HTTP-verzoek naar een kwetsbare Oracle WebLogic server, de aanvaller kan deze actie voltooien zonder enige authorisatie checks.
De kwetsbaarheid wordt momenteel actief geëxploiteerd. Er zijn tevens ook 2 proof of concepts beschikbaar op het web.
Beschrijving
De kwetsbaarheid werd gevonden door het onderzoekersteam van KnownSec 404. De kwetsbaarheid is te wijten aan een fout in het deserialisatie proces van de applicatie waardoor de uitvoering van code op afstand mogelijk is. De kwetsbaarheid bevindt zich in 2 componenten : "wls-wsat.war" en "wls9_async_response. Deze componenten worden gebruikt voor geserialiseerde gegevens.
Aanbevolen acties
Oracle heeft de kwetsbaarheid opgelost en gebundeld in hun critical security patch bundle van april 2019.
CERT.be raadt beheerders aan om kwetsbare systemen te patchen, na een zorgvuldige evaluatie op een testsysteem.
Voor meer informatie over de beveiligingspatches kan u terecht op de website van Oracle.
Update 20/06/2019:
Een nieuwe patch is beschikbaar gekomen : https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html