WebLogic Server Zero-Day-Sicherheitslücken-Patch veröffentlicht, Oracle Cautions Exploit immer noch aktiv

Oracle hat eine aktiv ausgenutzte Sicherheitslücke in seinen beliebten und weit verbreiteten WebLogic-Servern anerkannt. Obwohl das Unternehmen einen Patch veröffentlicht hat, müssen Benutzer ihre Systeme frühestens aktualisieren, da der Zero-Day-Fehler von WebLogic derzeit aktiv ausgenutzt wird. Die Sicherheitslücke wurde mit der Stufe "kritischer Schweregrad" gekennzeichnet. Die Bewertung des Common Vulnerability Scoring System oder der CVSS-Basisbewertung ist alarmierend. 9.8.

Oracle hat kürzlich eine kritische Sicherheitsanfälligkeit behoben, die seine WebLogic-Server betrifft. Die kritische Zero-Day-Sicherheitsanfälligkeit in WebLogic gefährdet die Online-Sicherheit der Benutzer. Der Fehler kann möglicherweise einem entfernten Angreifer ermöglichen, die vollständige administrative Kontrolle über das Opfer oder die Zielgeräte zu erlangen. Wenn dies nicht ausreicht, kann der Angreifer nach dem Betreten problemlos beliebigen Code ausführen. Die Bereitstellung oder Aktivierung des Codes kann remote erfolgen. Obwohl Oracle schnell einen Patch für das System veröffentlicht hat, liegt es an den Serveradministratoren, das Update bereitzustellen oder zu installieren, da dieser WebLogic-Zero-Day-Fehler als aktiv ausgenutzt gilt.

Der Security Alert Advisor von Oracle, der offiziell als CVE-2019-2729 gekennzeichnet ist, erwähnt die Bedrohung: „Sicherheitsanfälligkeit durch Deserialisierung über XMLDecoder in Oracle WebLogic Server Web Services. Diese Sicherheitsanfälligkeit bezüglich Remotecodeausführung kann ohne Authentifizierung remote ausgenutzt werden, d. H. Sie kann über ein Netzwerk ausgenutzt werden, ohne dass ein Benutzername und ein Kennwort erforderlich sind. “

Die Sicherheitslücke CVE-2019-2729 hat einen kritischen Schweregrad erreicht. Der CVSS-Basiswert von 9,8 ist normalerweise den schwerwiegendsten und kritischsten Sicherheitsbedrohungen vorbehalten. Mit anderen Worten, WebLogic-Serveradministratoren müssen die Bereitstellung des von Oracle herausgegebenen Patches priorisieren.

Eine kürzlich vom chinesischen KnownSec 404-Team durchgeführte Studie behauptet, dass die Sicherheitslücke aktiv verfolgt oder genutzt wird. Das Team ist der festen Überzeugung, dass der neue Exploit im Wesentlichen eine Umgehung des Patches eines zuvor bekannten Fehlers ist, der offiziell als CVE-2019-2725 gekennzeichnet ist. Mit anderen Worten, das Team ist der Ansicht, dass Oracle im letzten Patch, der eine zuvor entdeckte Sicherheitslücke beheben sollte, möglicherweise versehentlich eine Lücke hinterlassen hat. Oracle hat jedoch offiziell klargestellt, dass die gerade angesprochene Sicherheitslücke völlig unabhängig von der vorherigen ist. In einem Blog-Beitrag, der Klarheit darüber bieten soll, bemerkte John Heimann, VP Security Program Management: „Bitte beachten Sie, dass das in dieser Warnung angesprochene Problem zwar eine Sicherheitsanfälligkeit in Bezug auf die Deserialisierung ist, wie sie in Security Alert CVE-2019-2725 behandelt wird ist eine deutliche Schwachstelle.“

Die Sicherheitsanfälligkeit kann von einem Angreifer mit Netzwerkzugriff leicht ausgenutzt werden. Der Angreifer benötigt lediglich Zugriff über HTTP, einen der häufigsten Netzwerkpfade. Die Angreifer benötigen keine Authentifizierungsdaten, um die Sicherheitsanfälligkeit über ein Netzwerk auszunutzen. Die Ausnutzung der Sicherheitsanfälligkeit kann möglicherweise zur Übernahme der anvisierten Oracle WebLogic-Server führen.

Welche Oracle WebLogic-Server sind weiterhin anfällig für CVE-2019-2729?

Unabhängig von der Korrelation oder Verbindung mit dem vorherigen Sicherheitsfehler haben mehrere Sicherheitsforscher Oracle die neue Zero-Day-Sicherheitsanfälligkeit von WebLogic aktiv gemeldet. Laut Forschern betrifft der Fehler angeblich die Oracle WebLogic Server-Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.

Interessanterweise gab es bereits vor der Veröffentlichung des Sicherheitspatches durch Oracle einige Problemumgehungen für Systemadministratoren. Denjenigen, die ihre Systeme schnell schützen wollten, wurden zwei separate Lösungen angeboten, die noch funktionieren konnten:

Sicherheitsforscher konnten etwa 42.000 über das Internet zugängliche WebLogic-Server entdecken. Unnötig zu erwähnen, dass die Mehrheit der Angreifer, die die Sicherheitsanfälligkeit ausnutzen möchten, auf Unternehmensnetzwerke abzielen. Die Hauptabsicht hinter dem Angriff scheint darin zu bestehen, Crypto-Mining-Malware zu löschen. Server verfügen über die leistungsstärkste Rechenleistung, und diese Malware verwendet diese diskret, um die Kryptowährung abzubauen. Einige Berichte weisen darauf hin, dass Angreifer Monero-Mining-Malware bereitstellen. Es war sogar bekannt, dass Angreifer Zertifikatdateien verwendet haben, um den Schadcode der Malware-Variante zu verbergen. Dies ist eine recht gängige Technik, um der Erkennung durch Anti-Malware-Software zu entgehen.

Facebook Twitter Google Plus Pinterest