Oracle
Oracle va reconèixer la vulnerabilitat de seguretat explotada activament en els seus populars i àmpliament desplegats servidors WebLogic. Tot i que l’empresa ha emès un pedaç, els usuaris han d’actualitzar els seus sistemes al més aviat possible, ja que l’error de dia zero de WebLogic actualment està en explotació activa. L'error de seguretat s'ha etiquetat amb el nivell de 'gravetat crítica'. La puntuació del sistema de puntuació de vulnerabilitat comuna o la puntuació base CVSS és un alarmant 9,8.
Oracle abordat recentment una vulnerabilitat crítica que afecta els seus servidors WebLogic. La crítica vulnerabilitat de zero dies de WebLogic posa en perill la seguretat en línia dels usuaris. L'error pot permetre a un atacant remot obtenir un control administratiu complet de la víctima o dels dispositius objectiu. Si això no és suficient, un cop a l’interior, l’atacant remot pot executar fàcilment codi arbitrari. El desplegament o activació del codi es pot fer de forma remota. Tot i que Oracle ha publicat ràpidament un pedaç per al sistema, correspon als administradors del servidor desplegar o instal·lar l’actualització ja que es considera que aquest error de dia zero de WebLogic està en explotació activa.
L’assessor d’alertes de seguretat d’Oracle, etiquetat oficialment com a CVE-2019-2729, esmenta que l’amenaça és “vulnerabilitat de deserialització mitjançant XMLDecoder als serveis web d’Oracle WebLogic Server. Aquesta vulnerabilitat d'execució de codi remot és explotable remotament sense autenticació, és a dir, es pot explotar a través d'una xarxa sense necessitat de nom d'usuari i contrasenya '.
La vulnerabilitat de seguretat CVE-2019-2729 ha obtingut un nivell de gravetat crític. La puntuació base de CVSS de 9,8 se sol reservar per a les amenaces de seguretat més greus i greus. En altres paraules, els administradors del servidor WebLogic han de prioritzar el desplegament del pedaç emès per Oracle.
Execució de codi remot Oracle WebLogic (CVE-2019-2729): https://t.co/xbfME9whWl #seguretat pic.twitter.com/oyOyFybNfV
- F5 DevCentral (@devcentral) 25 de juny de 2019
Un estudi recentment realitzat per l'equip xinès KnownSec 404 afirma que la vulnerabilitat de seguretat s'està perseguint o utilitzant activament. L’equip creu fermament que la nova explotació és essencialment una derivació del pedaç d’un error conegut anteriorment etiquetat oficialment com CVE-2019–2725. Dit d’una altra manera, l’equip considera que Oracle podria haver deixat involuntàriament una llacuna dins de l’últim pegat que estava destinat a solucionar un defecte de seguretat descobert anteriorment. Tot i això, Oracle ha aclarit oficialment que la vulnerabilitat de seguretat que s’acaba d’abordar no té cap relació amb l’anterior. En un publicació del bloc per oferir aclariments sobre el mateix, John Heimann, vicepresident de gestió del programa de seguretat, va assenyalar: 'Tingueu en compte que, tot i que el problema tractat per aquesta alerta és la vulnerabilitat de deserialització, com la que es tracta a Security Alert CVE-2019-2725, és una vulnerabilitat diferent'.
La vulnerabilitat pot ser aprofitada fàcilment per un atacant amb accés a la xarxa. L'atacant només requereix accés via HTTP, una de les vies de xarxa més habituals. Els atacants no necessiten credencials d’autenticació per explotar la vulnerabilitat a través d’una xarxa. L'explotació de la vulnerabilitat pot comportar potencialment l'adquisició dels servidors Oracle WebLogic específics.
Weblogic XMLDecoder RCE
començar des de CVE-2017-3506, finalitzar per CVE-2019-2729. Tornem boig a Oracle, finalment utilitzen WHITELIST per solucionar-ho. pic.twitter.com/CWXN6zVAsQ- pyn3rd (@ pyn3rd) 20 de juny de 2019
Quins servidors Oracle WebLogic segueixen sent vulnerables a CVE-2019-2729?
Independentment de la correlació o connexió amb l'error de seguretat anterior, diversos investigadors de seguretat van informar activament de la nova vulnerabilitat de WebLogic de zero dies a Oracle. Segons els investigadors, l'error afectaria les versions d'Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.
Curiosament, fins i tot abans que Oracle publiqués el pedaç de seguretat, hi havia algunes solucions per als administradors del sistema. A aquells que desitjaven protegir ràpidament els seus sistemes, se'ls va oferir dues solucions diferents que encara podrien funcionar:
Escenari-1: cerqueu i suprimiu wls9_async_response.war, wls-wsat.war i reinicieu el servei Weblogic. Escenari-2: controla l'accés a l'URL dels camins / _async / * i / wls-wsat / * mitjançant el control de la política d'accés.
Els investigadors de seguretat van poder descobrir uns 42.000 servidors WebLogic accessibles a Internet. No cal esmentar que la majoria dels atacants que volen explotar la vulnerabilitat s’orienten a les xarxes corporatives. La intenció principal darrere de l'atac sembla ser la caiguda de programari maliciós de mineria criptogràfica. Els servidors tenen una part de la potència informàtica més potent i aquest malware utilitza discretament el mateix per explotar criptomoneda. Alguns informes indiquen que els atacants estan implementant programari maliciós de mineria monero. Fins i tot se sabia que els atacants havien utilitzat fitxers de certificats per amagar el codi maliciós de la variant de programari maliciós. Aquesta és una tècnica força comuna per eludir la detecció mitjançant programari antimalware.
![[Com] Esborreu la memòria cau de qualsevol navegador de Windows](https://jf-balio.pt/img/how-tos/54/clear-your-cache-any-windows-browser.png)
