Vulnérabilité CVE-2019-2568 dans Oracle WebLogic Server

36 000 serveurs Oracle WebLogic accessibles au public sont menacés

La vulnérabilité de la cybersécurité augmente de jour en jour. Cette fois, la vulnérabilité a été signalée dans Oracle WebLogic Server. KnownSec 404 a identifié une vulnérabilité CVE-2019-2568 qui permet à l’attaquant de compromettre Oracle WebLogic Server avec des privilèges faibles et un accès réseau via HTTP.

Voici la description officielle

“Vulnérabilité dans le composant Oracle WebLogic Server de Oracle Fusion Middleware (sous-composant: WLS Core Components). Les versions prises en charge qui sont affectées sont 10.3.6.0.0, 12.1.3.0.0 et 12.2.1.3.0. Une vulnérabilité facilement exploitable permet à un attaquant disposant de faibles privilèges et disposant d’un accès réseau via HTTP de compromettre Oracle WebLogic Server. ”

Pour votre information, Oracle WebLogic Server est un serveur d’applications Oracle qui est une plate-forme de déploiement et de développement d’applications d’entreprise de distributeur multiniveau. Oracle a acquis ce serveur en 2008 lors de l’acquisition de BEA Systems. La vulnérabilité CVE-2019-2568 qui permet l’accès au serveur via HTTP a été signalée.

Il convient de noter que la vulnérabilité du serveur peut également affecter divers produits. Les pirates peuvent mener la mise à jour non autorisée et même insérer ou supprimer l’accès à diverses données accessibles sur Oracle WebLogic Server.

Vous savez tous que le jour zéro dans la nature signifie que plusieurs serveurs sont en danger. Oracle en est consciente. Il publie des mises à jour de sécurité tous les trois mois. Comme la dernière mise à jour publiée par la société était à peine quatre jours avant la découverte du bogue, la vulnérabilité CVE-2019-2568 sera corrigée au cours des trois prochains mois.

Comment éviter les attaques

Près de 36 000 serveurs WebLogic accessibles au public sont à risque. Pour éviter les attaques avant les correctifs, le KnownSec 404 a recommandé de supprimer les composants vulnérables et de redémarrer leurs serveurs WebLogic ou de déployer des règles de pare-feu pour empêcher les requêtes aux deux URL exploitées (/ _async / * et / wls-wsat / *).

La vulnérabilité de ce type a été détectée en janvier dernier lorsque des attaquants ciblaient des serveurs de base de données. Cette tactique est totalement nouvelle et a été utilisée dans le nouveau style. Après que le code d’exploitation a affecté la machine, deux logiciels de mineur distincts se sont introduits dans l’appareil ciblé.