Phát hiện lỗ hổng cực kỳ nghiêm trọng chưa được vá trong máy chủ Oracle WebLogic

[WhiteHat News #ID:2017]

Các nhà nghiên cứu vừa công bố về lỗ hổng 0-day cực kỳ nghiêm trọng trong ứng dụng máy chủ Oracle WebLogic. Lỗ hổng có thể đã bị hacker khai thác trong thực tế.

Oracle WebLogic là một máy chủ ứng dụng đa tầng dựa trên Java, hỗ trợ doanh nghiệp nhanh chóng triển khai các sản phẩm và dịch vụ mới trên đám mây. Oracle WebLogic được sử dụng rộng rãi trên nền tảng đám mây và môi trường thông thường.

Oracle WebLogic tồn tại lỗ hổng thực thi mã từ xa nghiêm trọng ảnh hưởng đến tất cả các phiên bản của phần mềm, nếu các thành phần "wls9_async_response.war" và "wls-wsat.war" được kích hoạt.

Lỗ hổng cho phép kẻ tấn công thực hiện các lệnh tùy ý từ xa trên các máy chủ bị ảnh hưởng thông qua việc gửi truy vấn HTTP đặc biệt mà không cần xác thực.

Theo các nhà nghiên cứu, chi tiết lỗ hổng CNVD-C-2019-48814 đã được báo cáo tới Oracle, nhưng công ty vẫn chưa phát hành bản vá. Các phiên bản Oracle WebLogic bị ảnh hưởng bao gồm:

• WebLogic 10.X
• WebLogic 12.1.3

Theo công cụ tìm kiếm ZoomEye, hơn 36.000 máy chủ WebLogic có thể truy cập công khai trên Internet, tuy nhiên số lượng máy chủ tồn tại lỗ hổng chưa xác định được.

Máy chủ Oracle WebLogic được sử dụng nhiều nhất tại Mỹ và Trung Quốc, tiếp theo là các nước Iran, Đức, Ấn Độ…

Vì Oracle phát hành bản cập nhật an ninh theo quý và các bản vá quan trọng chỉ mới được cập nhật trong tháng 4 này, nên có khả năng chưa có bản vá ngay, trừ khi Oracle quyết định tung ra bản cập nhật an ninh bất thường.

Vì vậy, trước khi có bản vá chính thức, các quản trị viên máy chủ được khuyến cáo thực hiện việc thay đổi cài đặt sau để ngăn chặn tấn công:

• Xóa wls9_async_response.war, wls-wsat.war và khởi động lại dịch vụ Weblogic hoặc
• Ngăn chặn quyền truy cập vào các đường dẫn /_async/* và /wls-wsat/* URL thông qua kiểm soát chính sách truy cập.

Theo The Hacker News​

 

Nguy Hiểm Thật!