کشف آسيب‌پذيری جديد روز صفرم در سرورهای Oracle WebLogic

دوشنبه ۱۶ اردیبهشت ۱۳۹۸
محققان امنیتی یک آسیب‌پذیری روز صفرم اجرای کد از راه دور کشف کرده‌اند که بر سرور Oracle WebLogic تأثیرمی‌گذارد.
مرکز آپا شریف
SUT-APA-LOGO

محققان امنیتی یک آسیب‌پذیری روز صفرم اجرای کد از راه دور کشف کرده‌اند که بر سرور Oracle WebLogic تأثیرمی‌گذارد و به‌طور گسترده مورد سوءاستفاده قرار گرفته است.
به‌گفته‌ی محققان، این نقص نسخه‌های WebLogic 10.x و WebLogic 12.1.3 را تحت تأثیر قرار می‌دهد. بیش از 36،000 سرور WebLogic ازجمله آخرین نسخه‌ی آن، نسبت به این حملات آسیب‌پذیر هستند و صاحبان سرورها باید راه‌حل‌های لازم را برای مقابله با هرگونه نقض احتمالی ایجاد کنند.
مهاجمان در این حملات، سرورهای WebLogic که مؤلفه‌های “WLS9_ASYNC” و “WLS-WSAT” را اجرا می‌کنند، هدف قرار می‌دهند. مؤلفه‌ی اول از عملیات ناهمزمان سرور پشتیبانی می‌کند، در حالی که مؤلفه‌ی دوم، امنیت سرور است.
یک آسیب‌پذیری در این دو مؤلفه وجود دارد که می‌تواند باعث تحریک کد مخرب شود و اجازه دهد که یک هکر به سیستم مورد نظر دسترسی پیدا کند.
مهاجم می‌تواند از طریق این آسیب‌پذیری، از راه دور دستورات را بدون ارسال مجوز و با ارسال یک درخواست HTTP ویژه‌ی ساخته‌شده، مورد سوءاستفاده قرار دهد.
برای جلوگیری از این حملات، توصیه می‌شود که شرکت‌ها، یا اجزای آسیب‌پذیر را حذف کنند و سرورهای WebLogic خود را مجدداً راه اندازی کنند یا قوانین دیوار آتش را برای جلوگیری از درخواست به دو مسیر URL (/_async/* و /wls-wsat/*) که توسط حملات مورد استفاده قرار می‌گیرند، فعال کنند.
به‌گفته‌ی محققان، مهاجمان فقط به دنبال سرورهای WebLogic هستند و سعی در رها کردن نرم‌افزارهای مخرب و یا اجرای کد مخرب در میزبان آسیب‌پذیر ندارند. اما فعالیت آن‌ها در هفته‌های آینده تغییر خواهد کرد و آن‌ها پس از یافتن سرورها و پرونده‌های آسیب پذیر، حملات کامل خود را آغاز خواهند کرد.
سرورهای WebLogic همواره مورد علاقه‌ی هکرها بوده‌اند. این به این دلیل است که سرورهای WebLogic معمولاً به مقادیر زیادی از منابع دسترسی دارند. علاوه‌براین، به دلیل اینکه سرورهای WebLogic اغلب در شبکه‌های سازمانی یا برای اجرای اینترانت‌ها یا دیگر برنامه‌های سازمانی دولتی مستقر می‌شوند، هر گونه مشکلی از یک سرور WebLogic به راحتی می‌تواند به یک فاجعه تبدیل شود و اطلاعات حساس تجارتی را در اختیار هکرها قرار دهد.
اوراکل به روز رسانی امنیتی را برای رفع این آسیب‌پذیری که شناسه‌ی “CVE-2019-2725” به آن اختصاص داده شده است، منتشر کرد. به صاحبان سرور Oracle WebLogic توصیه می‌شود تا در اسرع وقت آن را وصله کنند.