Nouveau jour zéro Oracle WebLogic découvert dans la nature

Les chercheurs en sécurité ont découvert une nouvelle vulnérabilité de type «jour zéro» qui affecte le serveur Oracle WebLogic qui cible désormais la nature.

Oracle a été informé du jour zéro, mais le fournisseur de logiciels vient de publier ses mises à jour trimestrielles de sécurité quatre jours avant cette découverte à jour zéro.

Étant donné que la société publie des mises à jour de sécurité tous les trois mois, aucune mise à jour permettant de résoudre ce problème ne sera publiée avant trois mois, soit avant juillet.

En attendant, plus de 36 000 serveurs WebLogic disponibles au public resteront vulnérables aux attaques et les propriétaires de serveurs devront déployer des solutions pour contrer toute violation.

Zero-day

Le jour zéro a été découvert pour la première fois le dimanche 21 avril par la société KnownSec 404, derrière ZoomEye, un moteur de recherche permettant de découvrir les appareils connectés à Internet.

La société affirme que les attaquants ciblent les serveurs Oracle WebLogic exécutant les composants WLS9_ASYNC et WLS WSAT. Le premier composant prend en charge les opérations asynchrones sur le serveur, tandis que l'autre composant est le composant de sécurité du serveur.

Ces deux vulnérabilités peuvent déclencher du code malveillant qui permet à un attaquant de s'emparer du système ciblé.

Pour prévenir les attaques, KnowledgeSec 404 recommande aux entreprises de supprimer les composants vulnérables et de redémarrer leurs serveurs WebLogic, ou de définir des règles de pare-feu afin d'empêcher les requêtes d'être adressées à deux chemins d'URL exploités par les attaques (/ _async / * et / wls-wsat / *).

Juste des scans, pas d'exploitation

Plusieurs sources de la communauté de la sécurité réseau ont déclaré à ZDNet que les attaquants ne recherchent que des serveurs WebLogic et utilisent un exploit bénin pour tester la vulnérabilité, mais ils ne tentent toujours pas d'envoyer de logiciels malveillants ou d'exécuter des opérations malveillantes sur des hôtes vulnérables.

Ces attaques ont également été confirmées par des sources publiques, telles que Waratek et F5 Labs.

L'activité sur ce front doit changer dans les semaines à venir, les pirates passant de l'analyse et de l'analyse de serveurs vulnérables à des attaques en profondeur.

L'histoire a montré que les serveurs WebLogic sont parmi les serveurs les plus recherchés par les pirates informatiques.

Par exemple, un groupe de hackers a généré plus de 226 000 USD pour Monero fin 2017 en exploitant CVE-2017-10271, une autre erreur Oracle WebLogic, qui affecte également le composant WSL-WSAT.

D'autres attaques ont également été découvertes, visant CVE-2018-2628 et CVE-2018-2893, un autre ensemble d'erreurs Oracle WebLogic.

Au cours des 18 derniers mois, les serveurs Oracle WebLogic ont été ciblés sans cesse, en particulier par les groupes criminels impliqués dans des opérations de cryptographie. CVE-2017-10271, avant tout, reste l'un de leurs exploits préférés.

En effet, les serveurs Oracle WebLogic ont généralement accès à de grandes quantités de ressources, mais aussi parce qu'elles sont extrêmement populaires, ce qui les rend faciles à trouver et constitue une cible importante pour tout pirate informatique.

De plus, étant donné que les serveurs WebLogic sont souvent déployés sur des réseaux d'entreprise ou pour exécuter des intranets ou d'autres applications d'entreprise orientées entreprises, la compromission d'un serveur WebLogic peut facilement devenir un piratage désastreux, les intrus accédant à une multitude d'informations commerciales. .

Plus de rapports de vulnérabilité: