В Oracle WebLogic обнаружена RCE-уязвимость

Разработчики Oracle выпустили экстренный патч для серверов WebLogic, чтобы закрыть обнаруженную уязвимость нулевого дня. Эксперты призывают администраторов срочно установить обновление, поскольку баг уже получил применение в кибератаках.

Первыми об угрозе сообщили специалисты Knownsec 404 Team. В субботу 15 июня они предупредили о появлении эксплойта, который якобы позволяет обойти защиту от CVE-2019-2725 — обнаруженной в апреле дыры, допускающей исполнение стороннего кода.

Позднее вице-президент Oracle Джон Хейманн (John Heimann) опроверг первоначальную версию, уточнив, что новая 0-day, CVE-2019-2729, представляет собой независимую уязвимость. Аналитики присвоили ей 9,8 балла по шкале CVSS, что совпадает с оценкой апрельского бага.

В обоих случаях проблема вызвана некорректной десериализацией данных, когда Oracle WebLogic переводит информацию из бинарной формы в оригинальный вид.

Столь высокая оценка угрозы связана с тем, что уязвимостью можно воспользоваться удаленно и без авторизации. Главное отличие новой 0-day от CVE-2019-2725 — в охвате: апрельский баг касался всех серверов WebLogic, а нынешний присутствует только в версиях 10.3.6.0.0, 12.1.3.0.0 и 12.2.1.3.0.

При невозможности установить заплатку администраторы могут принять следующие защитные меры:

1. Удалить уязвимые файлы wls9_async_response.war и wls-wsat.war, перезагрузить WebLogic.
2. Установить контроль доступа к адресам /_async/* и /wls-wsat/*.

По данным специализированных поисковиков, круг уязвимых серверов включает около 42 тыс. хостов. Основная их часть расположена в США и Китае. Эксперты также отмечают, что обнаруженный сейчас эксплойт направлен против систем с поддержкой Java Development Kit 1.6.x.

В настоящий момент в открытых источниках нет информации о практическом смысле новых кампаний. Предыдущая уязвимость Oracle WebLogic активно применялась для распространения вымогателей Sodinokibi и GandCrab, ботов Muhstik и криптомайнера XMRig.

В 2018 году серверы WebLogic также попали под удар киберпреступников. В отличие от двух нынешних историй, атаки начались после публикации уязвимости, притом взломщикам понадобилось всего три дня на подготовку эксплойтов.

Источник: https://threatpost.ru/oracle-weblogic-rce-0day-begets-panic/33173/