En sikkerhedsbrist i Oraces WebLogic Server komponent til Fusion Middleware har et alvorligt sikkerhedshul. Et Javamodul er sårbart overfor et deserialization remote code execution angreb, som kan give en hacker kontrol over den angrebne server.
Problemet var forsøgt patchet, men nu er der blevet fundet en vej rundt om patchen, hvorved bristen igen er blotlagt, og serverne igen har vist sig sårbare.
Det skriver The Hacker News
Sikkerhedsforskeren, som går under sit twitternavn @pyn3rd, dokumenterede muligheden for at omgå patchen og offentliggjorde sit fund over Twitter.
Det ønskede tweet er blevet slettet eller kunne ikke findes.
Problemer i flere lag
WebLogic Server fungerer som mellemlag mellem front end-brugerfladen og backend-databasen. Ved at udnytte sikkerhedshullet (CVE-2018-2628) kan man få netværksadgang via TCP port 7001 og sende kode til serveren.
Sikkerhedsbristen påvirker version 10.3.6.0, 12.1.3.0, 12.2.1.2 og 12.2.1.3. Det vides ikke, om Oracle har endnu en patch på vej, men det anbefales stadig at opdatere til april-patchen, da angribere allerede er begyndt at søge efter servere, som er sårbare for det upatchede sikkerhedshul
GreyNoise has observed a large spike in devices scanning the Internet for TCP port 7001 beginning last week on 4/16/18. This activity corresponds directly with the disclosure (4/18/2018) and weaponization (4/18/18) of Oracle WebLogic CVE-2018-2628. Ref: https://t.co/3qdeQSF59T
— GreyNoise (@GreyNoiseIO) April 24, 2018