Oracle Weblogic vulnérable à une exécution de code à distance

Date de publication :

L'équipe de développement d’Oracle a publié le 18 juin un bulletin de sécurité corrigeant une vulnérabilité considérée comme critique. Un attaquant pourrait l’exploiter afin d’exécuter du code arbitraire à distance sur des serveurs de type WebLogic d’Oracle. Cette attaque serait simple à mettre en œuvre et ne nécessite pas d'authentification, bien qu’un accès au réseau via le protocole HTTP soit nécessaire. L'impact estimé sur la confidentialité et l'intégrité des données est élevé.

 

Oracle WebLogic est une famille de produits sur la plate-forme Java EE, incluant :

 

  • Un serveur web HTTP
  • Un serveur d'applications J2EE, WebLogic Application Server
  • Un portail, WebLogic Portal
  • Une plate-forme Enterprise Application Integration
  • Un serveur transactionnel, WebLogic Tuxedo
  • Une plate-forme de télécommunications, WebLogic Communication Platform

Les chercheurs de KnownSec 404 ont découvert et déclaré que l’exploitation de la vulnérabilité permet de contourner la correction d'une faille de désérialisation révélée plus tôt cette année et corrigée le 26 avril. Les chercheurs ont annoncé que cette faille était activement exploitée dans la nature. Cependant, John Heimann, vice-président de la direction du programme de sécurité, a contredit les affirmations des chercheurs en affirmant qu’il s’agissait d’une vulnérabilité distincte de la CVE-2019-2725.

 

Détails techniques :  

 

La vulnérabilité CVE-2019-2729 [CVSS : 9.8] repose sur la sérialisation d’objet en Java, sur le décodeur XML (XMLDecoder). La sérialisation est un mécanisme qui permet d’écrire des données présentes en mémoire (un objet par exemple) dans un format de données binaires. Ce format permet alors de rendre persistant l’élément via un stockage disque, une transmission réseau ou autre. La classe XMLDecoder est utilisée pour lire les documents XML créés à l'aide du XMLEncoder.

 

Des correctifs ont été publiés par Oracle et sont disponibles au téléchargement depuis le 18/06/2019. Du fait de leur criticité, les utilisateurs sont invités à appliquer les mises à jour le plus rapidement possible.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code à distance

Criticité

  • Score CVSS : 9.80

Existence d’un code d’exploitation de la vulnérabilité

  • Il n'existe pas de code d'exploitation publique.

Composants & versions vulnérables

  • Oracle WebLogic Server versions 10.3.6.0.0, 12.1.3.0.0 et 12.2.1.3.0

 CVE

  • CVE-2019-2729

Solutions ou recommandations

Mise en place de correctif de sécurité

  • Une mise à jour est proposée par Oracle depuis le 18 juin

Solution de contournement

L'équipe de Knownsec 404 a fourni les deux solutions temporaires suivantes :

  • Trouver et supprimer wls9_async_response.war, wls-wsat.war et redémarrer le service Weblogic.
  • Contrôler l'accès URL des chemins pour /_async/* and /wls-wsat/* en modifiant la politique d’accès.

Liens