Đầu tháng này, Oracle đã vá một lỗ hổng thực thi mã từ xa khử tuần tự hóa Java cực kỳ nghiêm trọng trong thành phần Máy chủ WebLogic của Fusion Middleware, lỗ hổng này có thể cho phép kẻ tấn công dễ dàng giành quyền kiểm soát hoàn toàn máy chủ dễ bị tấn công.
Tuy nhiên, một nhà nghiên cứu bảo mật, người điều hành thông qua tài khoản Twitter @pyn3rd và tuyên bố là một phần của nhóm bảo mật Alibaba, hiện đã thành lập một cách mà kẻ tấn công có thể bỏ qua bản vá bảo mật và khai thác lỗ hổng WebLogic một lần nữa.
Máy chủ WebLogic hoạt động như một lớp trung gian giữa giao diện người dùng phía trước và cơ sở dữ liệu phụ trợ của ứng dụng doanh nghiệp nhiều tầng. Nó cung cấp một bộ dịch vụ hoàn chỉnh cho tất cả các thành phần và tự động xử lý các chi tiết về hành vi của ứng dụng.
Lần đầu tiên được phát hiện vào tháng 11 năm ngoái bởi Liao Xinxi của nhóm bảo mật NSFOCUS, lỗ hổng Oracle WebLogic Server (CVE-2018-2628) có thể bị khai thác với quyền truy cập mạng qua cổng TCP 7001.
Nếu khai thác thành công, lỗ hổng có thể cho phép kẻ tấn công từ xa chiếm hoàn toàn Máy chủ Oracle WebLogic dễ bị tấn công. Lỗ hổng ảnh hưởng đến các phiên bản 10.3.6.0, 12.1.3.0, 12.2.1.2 và 12.2.1.3.
Do khai thác bằng chứng khái niệm (PoC) cho lỗ hổng Oracle WebLogic Server ban đầu đã được công khai trên Github và ai đó cũng vừa bỏ qua bản vá, nên các dịch vụ cập nhật của bạn lại có nguy cơ bị tấn công.
Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh
Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Mặc dù @pyn3rd chỉ phát hành một ảnh GIF (video) ngắn dưới dạng bằng chứng khái niệm (PoC) thay vì phát hành mã bỏ qua đầy đủ hoặc bất kỳ chi tiết kỹ thuật nào, nhưng sẽ khó có thể mất vài giờ hoặc vài ngày để các tin tặc lành nghề tìm ra cách để đạt được như nhau.
Hiện tại, vẫn chưa rõ khi nào Oracle sẽ phát hành bản cập nhật bảo mật mới để giải quyết vấn đề đã mở lại lỗ hổng CVE-2018-2628 này.
Để an toàn hơn ít nhất một bước, bạn vẫn nên cài đặt bản cập nhật vá lỗi tháng 4 do Oracle phát hành, nếu bạn chưa cài đặt vì những kẻ tấn công đã bắt đầu quét Internet cho các máy chủ WebLogic dễ bị tấn công.
