Oracle Weblogic

Oracle WebLogic: Nouveau 0-day critique

Une équipe de chercheur en sécurité a publié une alerte pour une vulnérabilité zero-day critique dans l’application pour serveur Oracle WebLogic.

L’application contiendrait une vulnérabilité d’exécution de code à distance qui affecte toutes les versions du logiciel, cette faille peut être exploité si les composants “wls9_async_response.war” et “wls-wsat.war” sont activés.

La vulnérabilitéy, découverte par les chercheurs de KnownSec 404, permet aux hackers d’exécuter des commandes à distance sur le serveur en envoyant des requêtes HTTP.

oracle weblogic server vulnerability

“Comme le paquet WAR a un défaut dans la désérialisation des informations en entrée, le hacker peut obtenir des droits sur le serveur ciblé en envoyant des requêtes HTTP spéciales, et exécuter des commandes à distance sans authorisation,” a expliqué la Chinese National Information Security Vulnerability Sharing Platform (CNVD).

Les chercheurs ont aussi partagé les détails de la vulnérabilité, identifié comme CNVD-C-2019-48814, avec l’équipe d’Oracle, mais la compagnie n’a pas encore sortie de patch. Les versions affectées de Oracle WebLogic sont:

  • WebLogic 10.X
  • WebLogic 12.1.3

Selon le moteur de recherche ZoomEye, plus de 36 000 serveurs WebLogic sont publiquement accessible sur Internet, mais nous ne savons pas combien d’entre eux ont activé les composants vulnérables.

La plupart des serveurs Oracle WebLogic sont déployés aux Etats-Unis et en Chine. On en trouve un nombre non-négligeable en Iran, en Allemagne, en Inde et dans d’autres pays.

oracle weblogic server vulnerability

Oracle distribue des mises à jour de sécurité tout les 3 mois et en ont sorti une le mois dernier, il est donc improbable que cette vulnérabilité soit patchée avant le mois de Juillet, à moins qu’ils de décident de faire un effort.

En attendant le patch il est donc recommandé aux administrateurs de choisir entre deux options pour sécuriser leurs serveurs:

  • Trouvez et supprimez wls9_async_response.war, wls-wsat.war et redémarrez le service Weblogic service, ou
  • Empêcher l’accès à /_async/* et /wls-wsat/* via la politique de contrôle d’accès.

Laisser un commentaire