Oracle
Oracle ยอมรับว่ามีการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในเซิร์ฟเวอร์ WebLogic ที่ได้รับความนิยมและมีการปรับใช้อย่างแพร่หลาย แม้ว่า บริษัท จะออกแพตช์ แต่ผู้ใช้ต้องอัปเดตระบบของตนโดยเร็วที่สุดเนื่องจากปัจจุบันบั๊ก Zero-day ของ WebLogic อยู่ภายใต้การแสวงหาประโยชน์ ข้อบกพร่องด้านความปลอดภัยได้รับการติดแท็กด้วยระดับ 'ความรุนแรงขั้นวิกฤต' คะแนน Common Vulnerability Scoring System หรือ CVSS base score เป็น 9.8 ที่น่าตกใจ
Oracle เพิ่งกล่าวถึง ช่องโหว่ร้ายแรงที่ส่งผลกระทบต่อเซิร์ฟเวอร์ WebLogic ช่องโหว่แบบ Zero-day ของ WebLogic คุกคามความปลอดภัยออนไลน์ของผู้ใช้ ข้อบกพร่องนี้อาจทำให้ผู้โจมตีจากระยะไกลสามารถควบคุมการดูแลระบบของเหยื่อหรืออุปกรณ์เป้าหมายได้อย่างสมบูรณ์ หากยังไม่เกี่ยวข้องเพียงพอเมื่อเข้าไปข้างในผู้โจมตีระยะไกลสามารถเรียกใช้รหัสตามอำเภอใจได้อย่างง่ายดาย การปรับใช้หรือเปิดใช้งานโค้ดสามารถทำได้จากระยะไกล แม้ว่า Oracle จะออกแพตช์สำหรับระบบอย่างรวดเร็ว แต่ก็ขึ้นอยู่กับผู้ดูแลระบบเซิร์ฟเวอร์ในการปรับใช้หรือติดตั้งการอัปเดตเนื่องจากข้อผิดพลาด Zero-day ของ WebLogic นี้ถือว่าอยู่ภายใต้การแสวงหาประโยชน์
ที่ปรึกษาด้านการแจ้งเตือนความปลอดภัยจาก Oracle ซึ่งติดแท็กอย่างเป็นทางการเป็น CVE-2019-2729 กล่าวถึงภัยคุกคามดังกล่าวคือ“ ช่องโหว่ deserialization ผ่าน XMLDecoder ใน Oracle WebLogic Server Web Services ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลนี้สามารถใช้ประโยชน์จากระยะไกลได้โดยไม่ต้องมีการตรวจสอบความถูกต้องนั่นคืออาจถูกใช้ประโยชน์ผ่านเครือข่ายโดยไม่จำเป็นต้องใช้ชื่อผู้ใช้และรหัสผ่าน”
ช่องโหว่ด้านความปลอดภัย CVE-2019-2729 ได้รับความรุนแรงระดับวิกฤต โดยปกติคะแนนฐาน CVSS ที่ 9.8 จะสงวนไว้สำหรับภัยคุกคามด้านความปลอดภัยที่รุนแรงและสำคัญที่สุด กล่าวอีกนัยหนึ่งผู้ดูแลระบบเซิร์ฟเวอร์ WebLogic ต้องจัดลำดับความสำคัญของการปรับใช้โปรแกรมแก้ไขที่ออกโดย Oracle
Oracle WebLogic Remote Code Execution (CVE-2019-2729): https://t.co/xbfME9whWl # ความปลอดภัย pic.twitter.com/oyOyFybNfV
- F5 DevCentral (@devcentral) 25 มิถุนายน 2562
การศึกษาเมื่อเร็ว ๆ นี้โดยทีมงาน KnownSec 404 ของจีนอ้างว่าช่องโหว่ด้านความปลอดภัยกำลังถูกติดตามหรือใช้งานอยู่ ทีมงานรู้สึกเป็นอย่างยิ่งว่าการใช้ประโยชน์ใหม่นี้เป็นการเลี่ยงผ่านสำหรับแพตช์ของจุดบกพร่องที่รู้จักก่อนหน้านี้ซึ่งติดแท็กอย่างเป็นทางการเป็น CVE-2019–2725 กล่าวอีกนัยหนึ่งทีมงานรู้สึกว่า Oracle อาจทิ้งช่องโหว่ภายในแพตช์สุดท้ายโดยไม่ได้ตั้งใจซึ่งมีจุดประสงค์เพื่อแก้ไขข้อบกพร่องด้านความปลอดภัยที่ค้นพบก่อนหน้านี้ อย่างไรก็ตาม Oracle ได้ชี้แจงอย่างเป็นทางการแล้วว่าช่องโหว่ด้านความปลอดภัยที่เพิ่งระบุนั้นไม่เกี่ยวข้องกับช่องโหว่ก่อนหน้านี้ ใน โพสต์บล็อกหมายถึงการให้คำชี้แจง ในเรื่องเดียวกัน John Heimann รองประธานฝ่ายจัดการโปรแกรมความปลอดภัยกล่าวว่า“ โปรดทราบว่าในขณะที่ปัญหาที่ได้รับการแก้ไขโดยการแจ้งเตือนนี้เป็นช่องโหว่ของ deserialization เช่นเดียวกับที่ระบุใน Security Alert CVE-2019-2725 แต่ก็เป็นช่องโหว่ที่แตกต่างกัน”
ช่องโหว่นี้สามารถถูกโจมตีได้โดยง่ายโดยผู้โจมตีที่มีการเข้าถึงเครือข่าย ผู้โจมตีต้องการการเข้าถึงผ่าน HTTP ซึ่งเป็นหนึ่งในเส้นทางเครือข่ายที่พบบ่อยที่สุด ผู้โจมตีไม่จำเป็นต้องมีข้อมูลรับรองการตรวจสอบสิทธิ์เพื่อใช้ประโยชน์จากช่องโหว่ผ่านเครือข่าย การใช้ประโยชน์จากช่องโหว่นี้อาจส่งผลให้เกิดการครอบครองเซิร์ฟเวอร์ Oracle WebLogic เป้าหมาย
Weblogic XMLDecoder RCE
เริ่มจาก CVE-2017-3506 สิ้นสุดที่ CVE-2019-2729 เราทำให้ Oracle คลั่งไคล้ในที่สุดพวกเขาก็ใช้ WHITELIST เพื่อแก้ไข pic.twitter.com/CWXN6zVAsQ- pyn3rd (@ pyn3rd) 20 มิถุนายน 2019
เซิร์ฟเวอร์ Oracle WebLogic ใดที่ยังคงมีช่องโหว่ต่อ CVE-2019-2729
โดยไม่คำนึงถึงความสัมพันธ์หรือการเชื่อมต่อกับข้อบกพร่องด้านความปลอดภัยก่อนหน้านี้นักวิจัยด้านความปลอดภัยหลายคนรายงานช่องโหว่ WebLogic zero-day ใหม่ต่อ Oracle ตามที่นักวิจัยรายงานว่าบั๊กนี้ส่งผลกระทบต่อ Oracle WebLogic Server เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
สิ่งที่น่าสนใจคือก่อนที่ Oracle จะออกแพตช์ความปลอดภัย แต่ก็มีวิธีแก้ปัญหาเล็กน้อยสำหรับผู้ดูแลระบบ ผู้ที่ต้องการปกป้องระบบของตนอย่างรวดเร็วได้รับการเสนอวิธีแก้ปัญหาสองทางแยกกันซึ่งยังสามารถใช้งานได้:
สถานการณ์ที่ 1: ค้นหาและลบ wls9_async_response.war, wls-wsat.war และรีสตาร์ทบริการ Weblogic สถานการณ์ที่ 2: ควบคุมการเข้าถึง URL สำหรับเส้นทาง / _async / * และ / wls-wsat / * โดยการควบคุมนโยบายการเข้าถึง
นักวิจัยด้านความปลอดภัยสามารถค้นพบเซิร์ฟเวอร์ WebLogic ที่เข้าถึงอินเทอร์เน็ตได้ประมาณ 42,000 เครื่อง ไม่จำเป็นต้องพูดถึงผู้โจมตีส่วนใหญ่ที่ต้องการใช้ช่องโหว่นี้กำลังกำหนดเป้าหมายไปที่เครือข่ายขององค์กร ความตั้งใจหลักที่อยู่เบื้องหลังการโจมตีดูเหมือนจะปล่อยมัลแวร์การขุด crypto เซิร์ฟเวอร์มีพลังในการประมวลผลที่ทรงพลังที่สุดและมัลแวร์ดังกล่าวก็ใช้สิ่งเดียวกันนี้ในการขุดสกุลเงินดิจิทัล รายงานบางฉบับระบุว่าผู้โจมตีกำลังติดตั้งมัลแวร์ Monero-mining แม้กระทั่งทราบว่าผู้โจมตีใช้ไฟล์ใบรับรองเพื่อซ่อนโค้ดที่เป็นอันตรายของตัวแปรมัลแวร์ นี่เป็นเทคนิคทั่วไปในการหลีกเลี่ยงการตรวจจับโดยซอฟต์แวร์ป้องกันมัลแวร์
![[การแก้ไข] ฐานข้อมูล Configuration Registry เสียหาย](https://jf-balio.pt/img/how-tos/76/configuration-registry-database-is-corrupt.png)
