Vulnerabilità zero-day in Oracle WebLogic

29/04/2019

cve-2019-2725 oracle rce Vulnerabilità

Alcuni esperti di sicurezza informatica avrebbero scoperto una vulnerabilità 0-day sul server Oracle WebLogic che potrebbe consentire un utente malintenzionato non autenticato di eseguire codice da remoto.  Lo zero-day, già sfruttato “in the wild” secondo fonti pubbliche come Waratek e F5 Labs, è stato scoperto per la prima volta domenica 21 aprile da KnownSec 404 una società di ZoomEye, un motore di ricerca di dispositivi connessi a Internet.

Oracle WebLogic è un’applicazione server utilizzata per la realizzazione e l’hosting di applicazioni Java-EE. A seconda dei privilegi associati con l’applicazione, un attaccante potrebbe essere in grado di installare programmi, visualizzare, modificare, cancellare dati o creare nuovi account.

Attualmente si stima che il numero di server WebLogic pubblicamente accessibili e vulnerabili sia oltre 36.000.

Descrizione della vulnerabilità

La vulnerabilità, a cui è stato assegnato il CVE-2019-2725 e un punteggio CVSS base pari a 9.8, riguarda due componenti:

  • WLS9_ASYNC, che gestisce le operazioni asincrone del server;
  • WLS-WSAT che gestisce la sicurezza del server di Oracle WebLogic Server (a sua volta componente di Oracle Fusion Middleware).

La vulnerabilità in questi due componenti potrebbe consentire la deserializzazione di codice malevolo. Un utente malintenzionato non autenticato potrebbe sfruttare questa falla inviando richieste studiate per la specifica applicazione e consentire l’esecuzione di codice in modalità remota con privilegi elevati, riuscendo così a prendere il controllo completo del server Oracle Web Logic.

Aggiornamento: In data 30 aprile 2019 è stato reso pubblico un exploit per le versioni di Oracle WebLogic impattate.

Versione impattate

  • Oracle WebLogic Server v. 10.3.6.0.0, 12.1.3.0.0 con i componenti WLS9_ASYNC e WLS-WSAT abilitati

Remediation

Si consiglia di applicare appena possibile la patch fornita nell’avviso di sicurezza di Oracle su tutti i sistemi vulnerabili e l’aggiornamento Critical Patch di Aprile sui componenti “Database” di Oracle Fusion Middleware.