RU EN
По-настоящему безопасной будет только выключенная и замуpованная в бетонный коpпус система.
Юджин Х. Спаффорд
Эксперт по компьютерной безопасности
Патч для Oracle weblogic оказался неполным
03 Май. 2018

Эксперты фиксируют всплеск сканов, нацеленных на выявление уязвимых серверов Oracle WebLogic. Эта активность наблюдается в Интернете уже две недели и вызывает озабоченность: как оказалось, патч для WebLogic, выпущенный вендором в середине апреля, можно обойти. Данных о злонамеренном использовании этой бреши в защите пока нет.

Речь идет о патче для CVE-2018-2628, который Oracle включила в апрельский набор обновлений для своих продуктов. Наличие этой критической уязвимости, оцененной в 9,8 балла по шкале CVSS 3.0, подтверждено для поддерживаемых WebLogic Server 10.3.6.0, 12.1.3.0, 12.2.1.2 и 12.2.1.3.

Эксплойт в данном случае требует наличия сетевого доступа к серверу на TCP-порту 7001, где работает ключевая служба, отвечающая за обмен между сервером WebLogic и другими Java-программами — клиентами, другими экземплярами WebLogic и т. п. Эти коммуникации осуществляются по протоколу T3, созданному Oracle на основе спецификаций RMI.

Успешная атака на CVE-2018-2628 открывает возможность для удаленного выполнения любого кода на сервере без аутентификации. Беда в том, что обнаруживший брешь китайский исследователь огласил свою находку в социальной сети. Один из ее участников воспользовался этой информацией для создания PoC-эксплойта, который уже пошел в тираж и опубликован на GitHub.

Ситуацию усугубило известие, что недавно вышедшая заплатка плохо закрывает брешь. Британский эксперт Кевин Бомонт (Kevin Beaumont) считает, что обход патча в данном случае стал возможным из-за того, что Oracle не устранила первопричину уязвимости, а просто поместила в черный список команды из эксплойт-цепочки, притом не все.

 

В ожидании исправления от Oracle Бомонт рекомендует заблокировать входящие соединения на порту 7001. Активизацию сканов на этом порту с тревогой наблюдают в GreyNoise IntelligenceЦентре SANS по сетевым угрозам и китайской ИБ-компании Qihoo 360. Случаев эксплойта в ходе текущей кампании пока не обнаружено — по всей видимости, злоумышленники пока лишь оценивают пул уязвимых машин.

В заключение стоит отметить, что последнее время нездоровый интерес к уязвимости WebLogic возрос. В текущем году одна из лазеек в этом продукте — CVE 2017-10271 — неоднократно использовалась для засева криптомайнеров.

threatpost.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.