Oracle
Oracle tunnistas oma populaarsetes ja laialdaselt kasutatavates WebLogicu serverites aktiivselt ära kasutatud turvanõrkust. Ehkki ettevõte on välja andnud plaastri, peavad kasutajad oma süsteeme värskendama kõige varem, kuna WebLogicu nullipäeva viga on praegu aktiivses kasutuses. Turvaviga on märgitud kriitilise raskusastmega. Ühise haavatavuse hindamissüsteemi skoor või CVSS-i põhiskoor on murettekitav 9.8.
Oracle hiljuti käsitletud kriitiline haavatavus, mis mõjutab tema WebLogicu servereid. Kriitiline WebLogicu nullpäevane haavatavus ohustab kasutajate veebiturvalisust. Viga võib potentsiaalselt lubada kaugründajal saada ohvri või sihtmärgi seadmete täielik halduskontroll. Kui see ei piisa, saab kaugründaja pärast sisenemist hõlpsasti suvalise koodi käivitada. Koodi juurutamist või aktiveerimist saab teha kaugjuhtimisega. Ehkki Oracle on süsteemile kiiresti plaastri välja andnud, on värskenduse installimine või installimine serveri administraatorite otsustada, kuna seda WebLogicu nullipäeva viga peetakse aktiivseks kasutamiseks.
Oracle'i turvahoiatusnõustaja, ametlikult sildiga CVE-2019-2729, mainib ohtu: „deserialiseerimise haavatavus Oracle WebLogic Serveri veebiteenuste XMLDecoderi kaudu. See koodi kaugkäivitamise haavatavus on kaughaldatav ilma autentimiseta, see tähendab, et seda saab kasutada võrgu kaudu ilma kasutajanime ja parooli kasutamata. '
CVE-2019-2729 turvaauk on teeninud kriitilise raskusastme. CVSS-i baasskoor 9,8 on tavaliselt reserveeritud kõige tõsisemate ja kriitilisemate turvaohtude jaoks. Teisisõnu peavad WebLogicu serveri administraatorid seadma esikohale Oracle'i välja antud plaastri juurutamise.
Oracle WebLogicu koodi kaugkäivitamine (CVE-2019-2729): https://t.co/xbfME9whWl #turvalisus pic.twitter.com/oyOyFybNfV
- F5 DevCentral (@ devcentral) 25. juuni 2019
Hiina KnownSec 404 meeskonna hiljuti läbi viidud uuring väidab, et turvanõrkust otsitakse või kasutatakse aktiivselt. Meeskond tunneb tungivalt, et uus ärakasutamine on sisuliselt möödapääs varem teadaolevast veast, mis on ametlikult märgistatud kui CVE-2019–2725. Teisisõnu arvab meeskond, et Oracle võis tahtmatult jätta viimase plaastri sisse auku, mis oli mõeldud varem avastatud turvavea kõrvaldamiseks. Oracle on siiski ametlikult selgitanud, et äsja lahendatud turvaauk on eelmisega täiesti seotud. Sees ajaveebipostitus oli mõeldud selgituste pakkumiseks umbes sama märkis John Security Programme Management asepresident John Heimann: „Pange tähele, et kuigi selles hoiatuses käsitletav probleem on deserialiseerimise haavatavus, nagu see, mida käsitletakse turvahoiatuses CVE-2019-2725, on see selgelt haavatav.
Võrgujuurdepääsuga ründaja saab haavatavust lihtsalt ära kasutada. Ründaja nõuab ainult juurdepääsu HTTP-le, mis on üks levinumaid võrguteid. Ründajad ei vaja haavatavuse kasutamiseks võrgus autentimismandaate. Haavatavuse kasutamine võib potentsiaalselt kaasa tuua sihitud Oracle WebLogicu serverid.
Veebiloogika XMLDecoder RCE
algus CVE-2017-3506, lõpp CVE-2019-2729. Me ajame Oracle'i hulluks, lõpuks kasutavad nad parandamiseks valget nimekirja. pic.twitter.com/CWXN6zVAsQ- pyn3rd (@ pyn3rd) 20. juuni 2019
Millised Oracle WebLogicu serverid jäävad CVE-2019-2729 jaoks haavatavaks?
Sõltumata korrelatsioonist või seosest eelmise turvaveaga teatasid mitmed turvauurijad aktiivselt uuest WebLogicu nullipäevase haavatavusest Oracle'ile. Teadlaste sõnul mõjutab viga väidetavalt Oracle WebLogic Serveri versioone 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0.
Huvitav on see, et juba enne seda, kui Oracle turvaparanduse välja andis, olid süsteemiadministraatoritel mõned lahendused. Neile, kes soovisid oma süsteeme kiiresti kaitsta, pakuti kahte eraldi lahendust, mis võiksid endiselt töötada:
Stsenaarium-1: leidke ja kustutage wls9_async_response.war, wls-wsat.war ja taaskäivitage veebilogi teenus. Stsenaarium-2: kontrollib juurdepääsupoliitikate juhtimise abil URL-idele juurdepääsu / _async / * ja / wls-wsat / * teed.
Turvalisuse uurijad suutsid avastada umbes 42 000 Internetile ligipääsetavat WebLogicu serverit. Ütlematagi selge, et enamik ründajaid, kes soovivad haavatavust ära kasutada, sihivad ettevõtte võrke. Rünnaku peamine eesmärk näib olevat krüpto-kaevandamise pahavara viskamine. Serveritel on kõige võimsam arvutusvõimsus ja selline pahavara kasutab seda diskreetselt krüptoraha kaevandamiseks. Mõni teade näitab, et ründajad juurutavad pahavara Monero-mineerimisel. Ründajad olid isegi teadaolevalt kasutanud pahavara variandi pahatahtliku koodi varjamiseks sertifikaadifaile. See on üsna levinud tehnika, et pahavaratõrje abil tuvastada.
![[FIX] Ubuntu 20.04 LTS klaviatuur ja hiir ei tööta](https://jf-balio.pt/img/how-tos/83/ubuntu-20-04-lts-keyboard.png)
