Af Nicolai Devantier, 03/05/18
I april lukkede Oracle masser af sikkerhedshuller, herunder en kritisk sårbarhed i et Java-modul i firmaets WebLogic Server-komponent til Fusion Middleware (CVE-2018-2628).
Et hul, der kan give angribere adgang til en sårbar server ved at afvikle ondsindet kode fra distancen.
Nu beretter en sikkerhedsforsker, der opererer under Twitter-navnet @pyn3rd og efter eget udsagn er en del af Alibaba Security Team, at have fundet en metode til at komme uden om den seneste patch fra Oracle.
Derved kan WebLogic-sårbarheden angiveligt udnyttes igen.
Ved at misbruge sårbarheden kan man få netværksadgang via port 7001 og ad denne vej afvikle ondsindet kode på systemet. Potentielt er der risiko for, at en angriber kan få fuld kontrol over serveren.
Sårbarheden kan findes i versionerne: 10.3.6.0, 12.1.3.0, 12.2.1.2 og 12.2.1.3.
Det er endnu uvist, hvornår Oracle er klar med en lap, der kan lukke hullet. Det er dog stadig tilrådeligt, at installere april-opdateringen, da du ellers er direkte udsat for sårbarheden CVE-2018-2628.
Links:
- Oracle lukker 254 sikkerhedshuller, artikel fra DKCERT.
- Faulty Patch for Oracle WebLogic Flaw Opens Updated Servers to Hackers Again, artikel fra The Hacker News.
- Oracle Weblogic Server (10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3) Deserialization Remote Command Execution Vulnerability (CVE-2018-2628), blog fra Github.