Bản vá lỗi khiến cho server Oracle đối mặt với nguy cơ bị tấn công

By | 10:33 am | 03/05/2018

oracle-weblogic-server-deserialization-remote-command-execution

Vào đầu tháng 04, Oracle đã vá một lỗ hổng thực thi mã Java từ xa  nghiêm trọng trong thành phần WebLogic Server của Fusion Middleware, cho phép kẻ tấn công dễ dàng kiểm soát hoàn toàn server chứa lỗ hổng.

Tuy nhiên, một nhà nghiên cứu bảo mật thuộc nhóm bảo mật của Alibaba có tên trên Twitter là @pyn3rd, đã tìm ra một cách để bypass bản vá và khai thác lỗ hổng WebLogic một lần nữa.

WebLogic Server đóng vai trò như một tầng trung gian nằm giữa giao diện front end của người dùng và cơ sở dữ liệu backend của một ứng dụng doanh nghiệp đa tầng. Nó cung cấp một bộ dịch vụ hoàn chỉnh cho tất cả thành phần và xử lý các hành vi của ứng dụng một cách tự động.

Được phát hiện lần đầu vào Tháng 11 năm ngoái bởi Liao Xinxi thuộc nhóm bảo mật của NSFOCUS, lỗ hổng WebLogic Server (CVE-2018-2628) có thể được khai thác thông qua TCP cổng 7001.

Nếu khai thác thành công, lỗ hổng cho phép kẻ tấn công chiếm toàn quyền điều khiển Oracle WebLogic Server. Lỗ hổng ảnh hưởng tới các phiên bản 10.3.6.0, 12.1.3.0, 12.2.1.2 và 12.2.1.3.

PoC của lỗ hổng đã được công khai trên Github, kể cả bản vá cũng đã bị bypass, vì thế các dịch vụ của bạn lại một lần nữa gặp nguy hiểm.

Mặc dù @pyn3rd mới chỉ đưa ra một đoạn video ngắn thay vì công khai toàn bộ mã bypass hoặc bất kỳ thông tin kỹ thuật chi tiết nào, các hackers chuyên nghiệp có thể chỉ mất một vài ngày hoặc một vài giờ để tìm ra cách bypass tương tự.

Hiện tại, Oracle chưa có thông báo về bản cập nhật mới để giải quyết lỗ hổng CVE-2018-2628 triệt để.

Theo: thehackernews.com