В Oracle WebLogic Server исправлена очередная уязвимость десериализации

21

В Oracle WebLogic Server исправлена очередная уязвимость десериализации

Исправленная уязвимость CVE-2019-2725 снова вернулась в виде бага CVE-2019-2729.


На этой неделе компания Oracle исправила уязвимость десериализации в WebLogic Server, позволяющую удаленно выполнить код и активно используемую в атаках. Проблема получила идентификатор CVE-2019-2729 и повторяет исправленную в апреле уязвимость CVE-2019-2725, используемую ранее для распространения вымогательского ПО Sodinokibi и майнеров криптовалют.

Согласно уведомлению Oracle, уязвимость можно проэксплуатировать без авторизации. Проблема затрагивает версии WebLogic Server 10.3.6.0.0, 12.1.3.0.0 и 12.2.1.3.0. Опасность уязвимости оценивается в 9,8 балла из 10.

Проблема была обнаружена специалистами команды 404 Team компании KnownSec. По их словам, уязвимость CVE-2019-2729 базируется на обходе исправления для CVE-2019-2725.

Уязвимость связана с компонентами “wls9_async” и “wls-wsat”. Если установка патча по каким-либо причинам не возможна, пользователи могут либо удалить их, а затем перезапустить сервер WebLogic, либо применить политики, ограничивающие для URL доступ к директориям “/_async/*” и “/wls-wsat/*”.

По данным системы ZoomEye, в 2019 году было развернуто порядка 42 тыс. установок Oracle WebLogic Server. Как показывает Shodan, в online-доступе находятся 2,3 тыс. серверов. Большинство серверов расположены в Китае и США.