Vulnerabilità zero-day in Oracle WebLogic

29/04/2019

cve-2019-2725 oracle rce Vulnerabilità

Alcuni esperti di sicurezza informatica avrebbero scoperto una vulnerabilità 0-day sul server Oracle WebLogic che potrebbe consentire un utente malintenzionato non autenticato di eseguire codice da remoto.  Lo zero-day, già sfruttato “in the wild” secondo fonti pubbliche come Waratek e F5 Labs, è stato scoperto per la prima volta domenica 21 aprile da KnownSec 404 una società di ZoomEye, un motore di ricerca di dispositivi connessi a Internet.

Oracle WebLogic è un’applicazione server utilizzata per la realizzazione e l’hosting di applicazioni Java-EE. A seconda dei privilegi associati con l’applicazione, un attaccante potrebbe essere in grado di installare programmi, visualizzare, modificare, cancellare dati o creare nuovi account.

Attualmente si stima che il numero di server WebLogic pubblicamente accessibili e vulnerabili sia oltre 36.000.

Descrizione della vulnerabilità

La vulnerabilità, a cui è stato assegnato il CVE-2019-2725 e un punteggio CVSS base pari a 9.8, riguarda due componenti:

  • WLS9_ASYNC, che gestisce le operazioni asincrone del server;
  • WLS-WSAT che gestisce la sicurezza del server di Oracle WebLogic Server (a sua volta componente di Oracle Fusion Middleware).

La vulnerabilità in questi due componenti potrebbe consentire la deserializzazione di codice malevolo. Un utente malintenzionato non autenticato potrebbe sfruttare questa falla inviando richieste studiate per la specifica applicazione e consentire l’esecuzione di codice in modalità remota con privilegi elevati, riuscendo così a prendere il controllo completo del server Oracle Web Logic.

Aggiornamento: In data 30 aprile 2019 è stato reso pubblico un exploit per le versioni di Oracle WebLogic impattate.

Versione impattate

  • Oracle WebLogic Server v. 10.3.6.0.0, 12.1.3.0.0 con i componenti WLS9_ASYNC e WLS-WSAT abilitati

Remediation

Si consiglia di applicare appena possibile la patch fornita nell’avviso di sicurezza di Oracle su tutti i sistemi vulnerabili e l’aggiornamento Critical Patch di Aprile sui componenti “Database” di Oracle Fusion Middleware.

Aggiornamento del 20 Giugno 2019

Lo scorso 18 giugno 2019 Oracle ha pubblicato un avviso di sicurezza “out-of-band” per una nuova vulnerabilità critica all’interno di Oracle WebLogic Server (versioni 10.3.6.0 e 12.1.3.0), nota con l’identificativo CVE-2019-2729. Questa nuova falla, scoperta dai ricercatori di sicurezza di team KnownSec 404, è dovuta ad un’errata validazione degli input utente durante le fasi di deserializzazione nel componente “XMLDecoder” di WebLogic Server Web Services. Un utente malintenzionato, non autenticato potrebbe sfruttare questa falla per tentare l’esecuzione di codice remoto (RCE) sui sistemi interessati. Alla vulnerabilità è stato associato un punteggio molto, alto (9.8 su 10) del Common Vulnerability Scoring System. Considerata l’alta probabilità di sfruttamento, il CERT-PA consiglia di applicare il prima possibile gli aggiornamenti di prodotto.