แพทช์ช่องโหว่ Zero-Day ของเซิร์ฟเวอร์ WebLogic ออก คำเตือนของ Oracle Exploit ยังคงทำงานอยู่
Oracle รับทราบถึงช่องโหว่ด้านความปลอดภัยในเซิร์ฟเวอร์ WebLogic ที่ได้รับความนิยมและใช้กันอย่างแพร่หลาย แม้ว่าบริษัทจะออกโปรแกรมแก้ไขแล้ว ผู้ใช้จะต้องอัปเดตระบบของตนโดยเร็วที่สุด เนื่องจากจุดบกพร่องซีโร่เดย์ของ WebLogic นั้นอยู่ภายใต้การแสวงหาผลประโยชน์ ข้อบกพร่องด้านความปลอดภัยได้รับการติดแท็กด้วยระดับ "ความรุนแรงที่สำคัญ" คะแนน Common Vulnerability Scoring System หรือคะแนนพื้นฐานของ CVSS เป็นที่น่าตกใจ 9.8
เมื่อเร็วๆ นี้ Oracle ได้แก้ไขช่องโหว่ที่สำคัญซึ่งส่งผลต่อเซิร์ฟเวอร์ WebLogic ช่องโหว่ Zero-day ที่สำคัญของ WebLogic คุกคามความปลอดภัยออนไลน์ของผู้ใช้ ข้อบกพร่องนี้อาจทำให้ผู้โจมตีจากระยะไกลสามารถควบคุมการดูแลระบบของเหยื่อหรืออุปกรณ์เป้าหมายได้อย่างสมบูรณ์ หากนั่นยังไม่เพียงพอ เมื่อเข้าไปข้างใน ผู้โจมตีจากระยะไกลสามารถรันโค้ดตามอำเภอใจได้อย่างง่ายดาย การปรับใช้หรือเปิดใช้งานรหัสสามารถทำได้จากระยะไกล แม้ว่า Oracle ได้ออกโปรแกรมแก้ไขสำหรับระบบอย่างรวดเร็ว แต่ก็ขึ้นอยู่กับผู้ดูแลระบบเซิร์ฟเวอร์ที่จะปรับใช้หรือติดตั้งการอัปเดต เนื่องจากจุดบกพร่องของ WebLogic Zero-day นี้ถือว่าอยู่ภายใต้การแสวงหาประโยชน์ที่ใช้งานได้
ที่ปรึกษา Security Alert จาก Oracle ซึ่งติดแท็กอย่างเป็นทางการว่า CVE-2019-2729 กล่าวถึงภัยคุกคามคือ “ช่องโหว่การดีซีเรียลไลเซชันผ่าน XMLDecoder ใน Oracle WebLogic Server Web Services ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลนี้สามารถใช้ประโยชน์ได้จากระยะไกลโดยไม่ต้องตรวจสอบความถูกต้อง กล่าวคือ อาจถูกโจมตีผ่านเครือข่ายโดยไม่ต้องใช้ชื่อผู้ใช้และรหัสผ่าน”
ช่องโหว่ด้านความปลอดภัย CVE-2019-2729 ได้รับระดับความรุนแรงที่สำคัญ โดยทั่วไปคะแนนฐาน CVSS ที่ 9.8 จะสงวนไว้สำหรับภัยคุกคามด้านความปลอดภัยที่รุนแรงและสำคัญที่สุด กล่าวอีกนัยหนึ่ง ผู้ดูแลระบบเซิร์ฟเวอร์ WebLogic ต้องจัดลำดับความสำคัญในการปรับใช้โปรแกรมแก้ไขที่ออกโดย Oracle
การศึกษาเมื่อเร็ว ๆ นี้โดยทีม Chinese KnownSec 404 อ้างว่าช่องโหว่ด้านความปลอดภัยกำลังถูกติดตามหรือใช้อย่างแข็งขัน ทีมงานรู้สึกเป็นอย่างยิ่งว่าการหาช่องโหว่ใหม่นี้เป็นทางเลี่ยงสำหรับโปรแกรมแก้ไขข้อบกพร่องที่รู้จักกันก่อนหน้านี้ซึ่งติดแท็กอย่างเป็นทางการว่า CVE-2019–2725 กล่าวอีกนัยหนึ่ง ทีมงานรู้สึกว่า Oracle อาจทิ้งช่องโหว่ไว้โดยไม่ได้ตั้งใจภายในแพตช์ที่แล้วซึ่งตั้งใจจะแก้ไขข้อบกพร่องด้านความปลอดภัยที่ค้นพบก่อนหน้านี้ อย่างไรก็ตาม Oracle ได้ชี้แจงอย่างเป็นทางการว่าช่องโหว่ด้านความปลอดภัยที่เพิ่งระบุนั้นไม่เกี่ยวข้องกับช่องโหว่ก่อนหน้านี้โดยสิ้นเชิง John Heimann รองประธาน Security Program Management กล่าวในบล็อกโพสต์ว่า "โปรดทราบว่าแม้ว่าปัญหาที่แก้ไขโดยการแจ้งเตือนนี้คือช่องโหว่ในการดีซีเรียลไลเซชัน เช่นเดียวกับที่กล่าวถึงใน Security Alert CVE-2019-2725 เป็นช่องโหว่ที่ชัดเจน”
ผู้โจมตีที่มีการเข้าถึงเครือข่ายสามารถใช้ประโยชน์จากช่องโหว่ได้อย่างง่ายดาย ผู้โจมตีเพียงต้องการการเข้าถึงผ่าน HTTP ซึ่งเป็นหนึ่งในเส้นทางเครือข่ายที่พบบ่อยที่สุด ผู้โจมตีไม่ต้องการข้อมูลรับรองการพิสูจน์ตัวตนเพื่อใช้ประโยชน์จากช่องโหว่บนเครือข่าย การใช้ประโยชน์จากช่องโหว่นี้อาจส่งผลให้เกิดการเข้ายึดเซิร์ฟเวอร์ Oracle WebLogic ที่เป็นเป้าหมาย
เซิร์ฟเวอร์ Oracle WebLogic ใดที่ยังคงมีความเสี่ยงต่อ CVE-2019-2729
นักวิจัยด้านความปลอดภัยหลายคนรายงานช่องโหว่ Zero-day ใหม่ของ WebLogic ต่อ Oracle โดยไม่คำนึงถึงความสัมพันธ์หรือการเชื่อมต่อกับจุดบกพร่องด้านความปลอดภัยก่อนหน้านี้ นักวิจัยรายงานว่าจุดบกพร่องดังกล่าวส่งผลกระทบต่อ Oracle WebLogic Server เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
ที่น่าสนใจ ก่อนที่ Oracle จะออกแพตช์ความปลอดภัย มีวิธีแก้ไขปัญหาชั่วคราวสำหรับผู้ดูแลระบบ ผู้ที่ต้องการปกป้องระบบของตนอย่างรวดเร็วได้รับข้อเสนอสองวิธีแยกกันซึ่งยังคงใช้งานได้:
นักวิจัยด้านความปลอดภัยสามารถค้นพบเซิร์ฟเวอร์ WebLogic ที่เข้าถึงอินเทอร์เน็ตได้ประมาณ 42,000 เครื่อง ผู้โจมตีส่วนใหญ่ที่ต้องการหาประโยชน์จากจุดอ่อนกำลังมุ่งเป้าไปที่เครือข่ายองค์กร ความตั้งใจหลักที่อยู่เบื้องหลังการโจมตีดูเหมือนจะปล่อยมัลแวร์การขุด crypto เซิร์ฟเวอร์มีพลังในการประมวลผลที่ทรงพลังที่สุดและมัลแวร์ดังกล่าวใช้สิ่งเดียวกันนี้ในการขุด cryptocurrency รายงานบางฉบับระบุว่าผู้โจมตีกำลังปรับใช้มัลแวร์ Monero-mining เป็นที่ทราบกันดีว่าผู้โจมตีใช้ไฟล์ใบรับรองเพื่อซ่อนรหัสที่เป็นอันตรายของตัวแปรมัลแวร์ นี่เป็นเทคนิคที่ใช้กันทั่วไปในการหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์ป้องกันมัลแวร์
