Oracle: les versions non-patchées de WebLogic sont ciblées

Oracle demande à ses clients d’accélérer le processus d’installation d’un patch pour une faille critique dans son serveur WebLogic qui est exploitée. La société a déclaré avoir reçu de nombreux rapports selon lesquels des attaquants ciblaient la vulnérabilité corrigée le mois dernier.

Oracle WebLogic Server est un serveur d’applications populaire utilisé dans la création et le déploiement d’applications Java EE d’entreprise. Le serveur présente une faille d’exécution de code à distance, CVE-2020-2883, qui peut être exploitée par des attaquants non authentifiés pour prendre le contrôle de systèmes non patchés.

oracle

Eric Maurice, directeur de l’assurance sécurité, a déclaré la semaine dernière que la faille avait été corrigée dans la Critical Patch Update d’Oracle 2020, qui corrigeait 405 failles, dont 286 exploitables à distance sur près de deux douzaines de gammes de produits.

«Oracle continue de recevoir périodiquement des rapports de tentatives d’exploitation malveillante de vulnérabilités pour lesquelles Oracle a déjà publié des correctifs de sécurité», selon la mise à jour de sécurité d’Oracle. «Dans certains cas, il a été signalé que les attaquants avaient réussi car les clients ciblés n’avaient pas appliqué les correctifs Oracle disponibles. Oracle recommande donc vivement aux clients de conserver les versions activement prises en charge et d’appliquer sans délai les correctifs de sécurité Critical Patch Update. »

Peu avant l’avertissement des exploits actifs, un code d’exploitation de preuve de concept a également été publié par un chercheur (sous l’alias «hktalent») sur GitHub pour la faille la semaine dernière.

oracle weblogic

Selon Zero Day Initiative de Trend Micro, la faille a une note de 9,8 sur 10 sur l’échelle CVSSv3, ce qui lui donne une gravité critique. Deux variantes de la faille ont été signalées. La première variante de la faille existe dans la gestion du protocole T3, qui est utilisé pour transporter des informations entre les serveurs WebLogic et d’autres types de programmes Java. Selon ZDI, les données conçues dans un message de protocole T3 peuvent déclencher la dé-sérialisation des données non fiables – permettant à un attaquant d’exécuter du code dans le contexte du processus en cours.

La deuxième variante de la faille existe au sein de la bibliothèque Oracle Coherence qui est la grille de données en mémoire d’Oracle et sa solution de mise en cache distribuée.

“Le problème résulte du manque de validation appropriée des données fournies par les utilisateurs, ce qui peut entraîner la dé-sérialisation des données non fiables”, selon ZDI. «Un pirate peut exploiter cette vulnérabilité pour exécuter du code dans le contexte du compte de service.»

Les versions concernées de WebLogic Server incluent les versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 et 12.2.1.4.0.

Oracle n’a pas divulgué d’autres détails sur le nombre de personnes ciblées ou sur les cybercriminels derrière les piratages.

Encore Oracle WebLogic

Les serveurs WebLogic continuent d’être durement touchés par les exploits. En mai 2019, les chercheurs ont averti que des activités malveillantes exploitant une vulnérabilité critique de dé-sérialisation critique de WebLogic (CVE-2019-2725) montaient en flèche – notamment pour diffuser le rançongiciel «Sodinokibi». En juin 2019, la société américaine a déclaré qu’une faille critique d’exécution de code à distance dans son serveur WebLogic (CVE-2019-2729) était activement exploitée par des pirates informatiques.