RU EN

Патч для Oracle weblogic оказался неполным

03 Май. 2018

Эксперты фиксируют всплеск сканов, нацеленных на выявление уязвимых серверов Oracle WebLogic. Эта активность наблюдается в Интернете уже две недели и вызывает озабоченность: как оказалось, патч для WebLogic, выпущенный вендором в середине апреля, можно обойти. Данных о злонамеренном использовании этой бреши в защите пока нет.

Речь идет о патче для CVE-2018-2628, который Oracle включила в апрельский набор обновлений для своих продуктов. Наличие этой критической уязвимости, оцененной в 9,8 балла по шкале CVSS 3.0, подтверждено для поддерживаемых WebLogic Server 10.3.6.0, 12.1.3.0, 12.2.1.2 и 12.2.1.3.

Эксплойт в данном случае требует наличия сетевого доступа к серверу на TCP-порту 7001, где работает ключевая служба, отвечающая за обмен между сервером WebLogic и другими Java-программами — клиентами, другими экземплярами WebLogic и т. п. Эти коммуникации осуществляются по протоколу T3, созданному Oracle на основе спецификаций RMI.

Успешная атака на CVE-2018-2628 открывает возможность для удаленного выполнения любого кода на сервере без аутентификации. Беда в том, что обнаруживший брешь китайский исследователь огласил свою находку в социальной сети. Один из ее участников воспользовался этой информацией для создания PoC-эксплойта, который уже пошел в тираж и опубликован на GitHub.

Ситуацию усугубило известие, что недавно вышедшая заплатка плохо закрывает брешь. Британский эксперт Кевин Бомонт (Kevin Beaumont) считает, что обход патча в данном случае стал возможным из-за того, что Oracle не устранила первопричину уязвимости, а просто поместила в черный список команды из эксплойт-цепочки, притом не все.

 

В ожидании исправления от Oracle Бомонт рекомендует заблокировать входящие соединения на порту 7001. Активизацию сканов на этом порту с тревогой наблюдают в GreyNoise IntelligenceЦентре SANS по сетевым угрозам и китайской ИБ-компании Qihoo 360. Случаев эксплойта в ходе текущей кампании пока не обнаружено — по всей видимости, злоумышленники пока лишь оценивают пул уязвимых машин.

В заключение стоит отметить, что последнее время нездоровый интерес к уязвимости WebLogic возрос. В текущем году одна из лазеек в этом продукте — CVE 2017-10271 — неоднократно использовалась для засева криптомайнеров.

threatpost.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.