Une vulnérabilité de type "jour-zéro" découverte sur Oracle WebLogic

Date de publication :

Le 20 avril 2019, une équipe de chercheurs en sécurité nommée KnowSec404 Team a découvert une vulnérabilité de type "jour-zéro" sur Oracle WebLogic.

Oracle WebLogic Server est un serveur d'applications Java EE actuellement développé par Oracle Corporation. Il est utilisé par de nombreuses applications et portails d'entreprise web basés sur la technologie Java.

Ce nouveau code d'exploitation permet à un attaquant d'exécuter des commandes à distance en envoyant des requêtes HTTP spécialement conçues. L'impact estimé sur la confidentialité, l'intégrité et la disponibilité des données est élevé.

Détails Techniques :

  • CVE 2019-2725 [CVSS V3 9.8] Les composants wls9_async et wls-wsat d'Oracle WebLogic déclenchent une vulnérabilité d'exécution des commandes à distance de désérialisation. Elle affecte toutes les versions de Weblogic (y compris la dernière version) qui ont activé les composants wls9_async_response.war et wls-wsat.war.
  • Les experts recommandent de désactiver les modules vulnérables "wls9_async_response.war" et "wls-wsat.war", ou d'empêcher l'accès aux URLs "/ _async / * " et " / wls-wsat / * " dans les installations Oracle WebLogic.
  • D'après les robots d'indexation, la plupart des instances Oracles concernées par la vulnérabilité et directement connectées sur Internet seraient localisées aux Etat-Unis et en Chine.

Au vu de la criticité de la vulnérabilité, Oracle recommande de mettre à jour son logiciel le plus rapidement possible.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire à distance.

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Il a été reporté que  le rançongiciel Sodinokibi exploite cette vulnérabilité pour se propager sur les serveurs.

Composants & versions vulnérables

  • Oracle WebLogic Server, versions 10.3.6.0 et 12.1.3.0    

CVE

  • CVE-2019-2725

Solutions ou recommandations

Mise en place de correctif de sécurité

  • Oracle recommande aux clients d'appliquer la mise à jour du correctif critique d'avril 2019 aux pour les composants Oracle Database des produits Oracle Fusion Middleware.

Solution de contournement

Deux alternatives existent pour contourner la vulnérabilité :

  • Scénario-1 : Trouver et supprimer wls9_async_response.war, wls-wsat.war et redémarrer le service Weblogic
  • Scénario-2 : Contrôle l'accès URL pour les chemins /_async/* et /wls-wsat/* par un contrôle des règles d'accès.

Liens