甲骨文周二宣布了針對影響特定版本W(wǎng)ebLogic Server的遠(yuǎn)程代碼執(zhí)行漏洞的補丁。 這個漏洞繞過了以前固定的漏洞����,研究人員說它在攻擊中被積極使用。
現(xiàn)在跟蹤問題CVE-2019-2729��,它通過Oracle WebLogic Server Web服務(wù)中的XMLDecoder進行反序列化�。 這與4月修補的CVE-2019-2725相同,在過去的攻擊中用于提供Sodinokibi勒索軟件和加密貨幣礦工����。 它也包含在最近發(fā)現(xiàn)的Echobot僵尸網(wǎng)絡(luò)的漏洞包中�。
舊問題回歸
甲骨文警告稱�����,CVE-2019-2729的嚴(yán)重程度得分為9.8(滿分10分)�,“可以通過網(wǎng)絡(luò)利用��,而無需用戶名和密碼��������! 受影響的WebLogic Server版本為10.3.6.0.0,12.1.3.0.0,12.2.1.3.0��。
星期六����,來自KnownSec的404團隊的成員警告說���,Oracle WebLogic中的早期反序列化問題已被繞過�����。 當(dāng)時這是一個零日漏洞�,研究人員稱它“在野外積極使用”。 他們得出結(jié)論����,它是CVE-2019-2725的旁路,具有相同的9.8臨界嚴(yán)重性分?jǐn)?shù)����。
然后今天,發(fā)現(xiàn)了一個新的oracle webLogic反序列化RCE 0day漏洞��,并且正在瘋狂地使用�。我們分析并重現(xiàn)了0day漏洞,該漏洞基于并繞過了CVE-2019-2725的補丁����。
Oracle認(rèn)為Badcode是Knownsec 404團隊的成員,負(fù)責(zé)報告新的反序列化漏洞���,以及其他九位安全研究人員���。
補丁的臨時解決方案
反序列化問題由Oracle WebLogic中的“wls9_async”和“wls-wsat”組件觸發(fā)。
如果無法立即修補���,研究人員會提出兩種緩解方案:
1�、刪除“wls9_async_response.war”和“wls-wsat.war”然后重新啟動WebLogic服務(wù)
2、對URL“/ _async / *”和“/ wls-wsat / *”的URL訪問實施訪問策略控制
在Oracle了解它們并發(fā)布緊急補丁時��,這兩個反序列化漏洞都被零天積極利用�。它們以相同的方式工作,并利用它們導(dǎo)致相同的遠(yuǎn)程代碼執(zhí)行效果�。不同之處在于,第一個影響所有版本的WebLogic Server����,而第二個影響Oracle產(chǎn)品的特定版本��。
根據(jù)ZoomEye搜索引擎的結(jié)果����,2019年部署了大約42,000個Oracle WebLogic Server實例。在Shodan上進行的類似搜索顯示�����,在線提供的服務(wù)器數(shù)量略多于2,300臺�����。兩家發(fā)動機達成一致意見的是,這些服務(wù)器主要存在于美國和中國�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
