Oracle speelt kat-en-muis met WebLogic-exploits
Aanvallers kunnen met de nu geopenbaarde kwetsbaarheid eigen code op afstand uitvoeren, zonder dat ze zich eerst hoeven te authenticeren op WebLogic-servers. Deze 0-day heeft een risicoscore van 9,8 gekregen op de 10-traps CVSS-indeling (Common Vulnerability Scoring System). De patch die Oracle buiten zijn reguliere updateritme heeft uitgebracht, moet het gevaar van deze remote code execution (RCE) afwenden.
Patchen, omzeilen, patchen
Het gaat om een zogeheten deserialization-kwetsbaarheid die optreedt via de XMLDevoder in de webservices van WebLogic Server. Deze Oracle-software is kwetsbaar in versies 10.3.6.0.0, 12.1.3.0.0 en 12.2.1.3.0, waarschuwt de leverancier in zijn security advisory. Security-onderzoeker Johannes Ullrich van het onafhankelijke SANS Institute merkt kritisch op dat Oracle's noodpatch voor dit geval wel zeer specifiek is voor dit geval.
Ullrich stelt dat deze nieuwe kwetsbaarheid (met CVE-code 2019-2729) vergelijkbaar is met het eerdere geval van CVE-2019-2725, die in april dit jaar is ontdekt en toen gauw gepatcht. Het nieuwste geval, wat de derde is in een reeks RCE-gaten in WebLogic, omzeilt de beschermende maatregelen die Oracle heeft ingevoerd met de patch van april. "Oracle gebruikt een blacklist-aanpak in het patchen van deze deserialization-kwetsbaarheden, waarbij het de deserialisatie van zeer specifieke klassen blokkeert." Dit heeft eerder al geleid tot soortgelijke gevallen van omzeilen, patchen en weer omzeilen, merkt Ullrich op in de SANS-melding over de juni-noodpatch van Oracle.
Cryptojacking, ransomware
De eerdere gevallen van deze categorie kwetsbaarheden in WebLogic hebben al geleid tot aanvalsgolven waarbij de bedrijfssoftware van Oracle is gevallen voor cryptojacking en voor ransomware, meldt Ars Technica. In het eerste geval is de rekenkracht van WebLogic-servers, inclusief schaalbare cloud-opstellingen, misbruikt voor het ontginnen van cryptovaluta zoals Monero. Daarbij is toen ook Nederland geraakt. In het tweede geval zijn WebLogic-installaties van organisaties versleuteld door afpersers.
Het nu onthulde derde geval, waarvoor dus een noodpatch beschikbaar is, kan ook grote securitygevolgen hebben. Bovendien zou de blacklist-aanpak van Oracle ertoe leiden dat volgende geval wel zijn te verwachten. Aanvallers houden zich bezig met deze lucratieve categorie kwetsbaarheden, getuige ook de huidige aanvallen op dit derde geval. Verder vermeldt Oracle in zijn security advisory over CVE-2019-2729 maar liefst elf security-onderzoekers die elk de kwetsbaarheid hebben gemeld bij de softwarefabrikant. Dit duidt al op brede aandacht en succes aan de kant van white hat hackers, wat een teken kan zijn voor de interesse en inzet die black hat hackers kunnen hebben.
Openstaande webapplicaties
Securitybedrijf KnownSec404, die een van de elf genoemde ontdekkers is van deze derde RCE in WebLogic, draagt in een blogpost enkele beperkende maatregelen aan. Deze kunnen ook in bredere zin bescherming bieden; dus voor dit type kwetsbaarheid. Het advies omvat het geheel uitschakelen van de kwetsbare webapplicaties Asynchronous Request-Response en Web Service Atomic Transactions (die door WebLogic default openstaan naar het internet toe), of het beperken van netwerktoegang tot die serverapplicaties. KnownSec404 heeft ook de WebLogic-kwetsbaarheid van april ontdekt en gemeld bij Oracle.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee