La récente faille d’Oracle WebLogic ciblée par des hackers

Si une organisation n’a pas mis à jour ses serveurs Oracle WebLogic pour les protéger contre une faille d’exécution de code à distance récemment révélée, les chercheurs ont une mise en garde: « Supposez que vos serveurs ont déjà été compromis. »

Oracle WebLogic Server est une application de serveur populaire utilisé dans la création et le déploiement d’applications Java EE d’entreprise. Le composant console du serveur WebLogic a une faille, CVE-2020-14882, qui a une note de 9,8 sur 10 sur l’échelle CVSS. Selon Oracle, l’attaque est de «faible» complexité, ne nécessite aucun privilège et aucune interaction de l’utilisateur et peut être exploitée par des attaquants disposant d’un accès réseau via HTTP.

oracle

La faille a été corrigée par Oracle dans le déploiement massif de sa mise à jour trimestrielle des correctifs critiques (CPU) du mois d’Octobre, qui corrigeait 402 failles de sécurité dans diverses familles de produits. Les versions prises en charge qui sont affectées sont 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0.

oracle weblogic

La mise à jour d’Octobre a été distribuée le 21 octobre. SANS Technology Institute a déclaré qu’en se basant sur les observations de honeypots(pots de miel), les cybercriminels ciblent désormais activement la faille.

« À ce stade, nous voyons les scans ralentir un peu », a déclaré Ullrich dans un communiqué. «Mais ils ont atteint la ‘saturation’, ce qui signifie que toutes les adresses IPv4 ont été scannées pour cette vulnérabilité. Si vous trouvez un serveur vulnérable sur votre réseau: supposez qu’il a été compromis. »

Ullrich a déclaré que les exploits semblent être basés sur un article de blog publié récemment (en vietnamien) par « Jang », qui a décrit comment exploiter la faille pour réaliser l’exécution de code à distance via une seule requête GET. Vous trouverez ci-dessous une vidéo de preuve de concept (POC).

Ullrich a déclaré que les tentatives d’exploitation sur les honeypots proviennent jusqu’à présent de quatre adresses IP: 114.243.211.182, 139.162.33.228, 185.225.19.240 et 84.17.37.239.

Ullrich et d’autres recommandent aux utilisateurs d’Oracle WebLogic Server de mettre à jour leurs systèmes dès que possible. Les utilisateurs peuvent trouver un document de disponibilité des correctifs pour WebLogic et d’autres produits Oracle vulnérables, disponible ici.

Oracle WebLogic très ciblé par les pirates informatiques

Les serveurs Oracle WebLogic continuent d’être durement touchés par les exploits. En Mai 2020, Oracle a recommandé à ses clients d’accélérer la mise en place d’un correctif pour une faille critique de son serveur WebLogic qui est ciblée par des attaques. La société a déclaré avoir reçu de nombreux rapports selon lesquels des attaquants ciblaient la vulnérabilité corrigée le mois dernier. En Mai 2019, des chercheurs ont averti que l’activité malveillante exploitant une vulnérabilité de désérialisation critique d’Oracle WebLogic récemment révélée (CVE-2019-2725) augmentait, notamment pour propager le ransomware «Sodinokibi». En Juin 2019, Oracle a déclaré qu’une faille critique d’exécution de code à distance dans son serveur WebLogic (CVE-2019-2729) était activement exploitée dans la nature.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x