Oracle déploie un patch d’urgence pour une faille de WebLogic

Oracle a déployé un correctif pour une faille d’exécution de code à distance dans plusieurs versions de son logiciel de serveur WebLogic.

La vulnérabilité (CVE-2020-14750) a un score CVSS de 9,8 sur 10 et est exploitable à distance sans authentification (ce qui signifie qu’elle peut être exploitée sur un réseau sans avoir besoin d’un nom d’utilisateur et d’un mot de passe).

«En raison de la gravité de cette vulnérabilité, Oracle recommande vivement aux clients d’appliquer les mises à jour fournies par cette alerte de sécurité dès que possible après avoir appliqué la mise à jour des correctifs critiques d’octobre 2020», selon Eric Maurice, directeur de l’assurance de la sécurité chez Oracle, dans un avis.

oracle

Bien que les détails spécifiques de la faille n’aient pas été divulgués, l’alerte d’Oracle indique qu’elle se trouve dans la console d’Oracle WebLogic Server et qu’elle peut être exploitée via le protocole réseau HTTP. Une attaque potentielle a une complexité «faible» et aucune interaction de l’utilisateur n’est requise, a déclaré la société américaine.

Oracle WebLogic Server est un serveur d’applications populaire utilisé dans la création et le déploiement d’applications Java EE d’entreprise. Les versions concernées de WebLogic Server incluent 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0.

oracle weblogic

Oracle a déclaré que la vulnérabilité «est liée à» CVE-2020-14882, qui est également une faille d’exécution de code à distance dans les serveurs WebLogic. La faille CVE-2020-14882 a été corrigée dans le déploiement massif du mois d’octobre de sa mise à jour trimestrielle des correctifs critiques (CPU), qui corrigeait 402 vulnérabilités dans diverses familles de produits. Les versions prises en charge qui sont affectées sont 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0.

Les experts en sécurité sur Twitter ont souligné le fait que le correctif pour CVE-2020-14882 pourrait être contourné en changeant simplement la casse d’un caractère dans leur requête. Cela éviterait ainsi la liste noire qui a été implémentée pour bloquer la faille, en contournant le correctif.

Après une analyse plus approfondie du contournement, «l’application Web prend une décision d’autorisation en fonction du chemin demandé, mais elle le fait sans d’abord décoder complètement et canoniser le chemin», a déclaré Craig Young, chercheur en sécurité chez Tripwire, dans une analyse. “Le résultat est qu’une URL peut être construite pour correspondre au modèle d’une ressource autorisée, mais finalement accéder à une ressource complètement différente.”

Alors que le correctif pour CVE-2020-14882 a été publié lors d’une mise à jour du 21 octobre, Johannes B.Ullrich, doyen de la recherche au SANS Technology Institute, a déclaré récemment qu’en se basant sur les observations de honeypot, les cybercriminels ciblent désormais activement la faille.

Oracle WebLogic souvent ciblé

Les serveurs Oracle WebLogic continuent d’être durement touchés par les exploits. En Mai, Oracle a recommandé à ses clients d’accélérer la mise en place d’un correctif pour une faille critique de son serveur WebLogic qui était activement exploité. La société a déclaré avoir reçu de nombreux rapports selon lesquels des attaquants ciblaient la vulnérabilité corrigée le mois dernier. En Mai 2019, des chercheurs ont déclaré que l’activité malveillante exploitant une vulnérabilité de désérialisation critique d’Oracle WebLogic récemment révélée (CVE-2019-2725) augmentait, notamment pour propager le ransomware REvil/Sodinokibi. En Juin 2019, Oracle a déclaré qu’une faille critique d’exécution de code à distance dans son serveur WebLogic (CVE-2019-2729) était activement exploitée dans la nature.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x