आकाशवाणी
Oracle ने अपने लोकप्रिय और व्यापक रूप से तैनात WebLogic सर्वरों में सक्रिय रूप से सुरक्षा भेद्यता को स्वीकार किया। हालांकि कंपनी ने एक पैच जारी किया है, उपयोगकर्ताओं को जल्द से जल्द अपने सिस्टम को अपडेट करना होगा क्योंकि वेबलॉग जीरो-डे बग वर्तमान में सक्रिय शोषण के तहत है। सुरक्षा दोष को 'गंभीर गंभीरता' स्तर के साथ टैग किया गया है। कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम स्कोर या सीवीएसएस बेस स्कोर एक खतरनाक 9.8 है।
आकाशवाणी हाल ही में संबोधित किया इसके वेबलॉजिक सर्वर को प्रभावित करने वाली एक महत्वपूर्ण भेद्यता। महत्वपूर्ण WebLogic शून्य-दिन भेद्यता उपयोगकर्ताओं की ऑनलाइन सुरक्षा के लिए खतरा है। बग संभावित रूप से एक दूरस्थ हमलावर को पीड़ित या लक्ष्य उपकरणों के पूर्ण प्रशासनिक नियंत्रण प्राप्त करने की अनुमति दे सकता है। यदि वह पर्याप्त नहीं है, तो एक बार अंदर, रिमोट हमलावर आसानी से मनमाने कोड को अंजाम दे सकता है। कोड की तैनाती या सक्रियण दूर से किया जा सकता है। यद्यपि ओरेकल ने सिस्टम के लिए जल्दी से एक पैच जारी किया है, यह सर्वर प्रशासक पर निर्भर है कि वह अपडेट को स्थापित या स्थापित करे क्योंकि इस WebLogic जीरो-डे बग को सक्रिय शोषण के तहत माना जाता है।
Oracle से सुरक्षा चेतावनी सलाहकार, आधिकारिक तौर पर CVE-2019-2729 के रूप में टैग किया गया है, जिसमें खतरे का उल्लेख किया गया है, “Oracle WebLogic Server Web Services में XMLDecoder के माध्यम से डिसेरलाइज़ेशन भेद्यता। यह रिमोट कोड निष्पादन भेद्यता प्रमाणीकरण के बिना दूरस्थ रूप से शोषक है, अर्थात्, बिना उपयोगकर्ता नाम और पासवर्ड की आवश्यकता के नेटवर्क पर शोषण किया जा सकता है। '
CVE-2019-2729 सुरक्षा भेद्यता ने एक गंभीर गंभीरता स्तर अर्जित किया है। 9.8 का सीवीएसएस आधार स्कोर आमतौर पर सबसे गंभीर और महत्वपूर्ण सुरक्षा खतरों के लिए आरक्षित है। दूसरे शब्दों में, WebLogic सर्वर व्यवस्थापकों को Oracle द्वारा जारी किए गए पैच की तैनाती को प्राथमिकता देनी चाहिए।
Oracle WebLogic रिमोट कोड निष्पादन (CVE-2019-2729): https://t.co/xbfME9whWl #Security pic.twitter.com/oyOyFybNfV
- F5 देवेंद्रपाल (@devcentral) 25 जून, 2019
हाल ही में चाइनीज नॉनसेक 404 टीम द्वारा किए गए एक अध्ययन में दावा किया गया है कि सुरक्षा भेद्यता का सक्रिय रूप से उपयोग या उपयोग किया जा रहा है। टीम को दृढ़ता से लगता है कि नया शोषण अनिवार्य रूप से आधिकारिक तौर पर CVE-2019 -2725 के रूप में टैग किए गए पहले से ज्ञात बग के पैच के लिए एक बाईपास है। दूसरे शब्दों में, टीम को लगता है कि ओरेकल ने अनजाने में पिछले पैच के भीतर एक खामियों को छोड़ दिया हो सकता है जो पहले सुरक्षा दोष को संबोधित करने के लिए था। हालांकि, ओरेकल ने आधिकारिक तौर पर स्पष्ट किया है कि सिर्फ संबोधित सुरक्षा भेद्यता पिछले एक से पूरी तरह से संबंधित नहीं है। में ब्लॉग पोस्ट का मतलब स्पष्टीकरण देना था उसी के बारे में, वीपी सिक्योरिटी प्रोग्राम मैनेजमेंट के जॉन हेइमन ने कहा, 'कृपया ध्यान दें कि इस अलर्ट द्वारा संबोधित किया गया मुद्दा डिसेरलाइज़ेशन भेद्यता है, जैसे कि सिक्योरिटी अलर्ट CVE-2019-2725 में संबोधित किया गया है, यह एक अलग भेद्यता है।'
नेटवर्क पहुंच के साथ हमलावर द्वारा भेद्यता का आसानी से फायदा उठाया जा सकता है। हमलावर को केवल HTTP के माध्यम से पहुंच की आवश्यकता होती है, जो सबसे सामान्य नेटवर्किंग मार्गों में से एक है। किसी नेटवर्क पर भेद्यता का फायदा उठाने के लिए हमलावरों को प्रमाणीकरण क्रेडेंशियल्स की आवश्यकता नहीं है। भेद्यता का शोषण संभावित रूप से लक्षित Oracle WebLogic सर्वर के अधिग्रहण में हो सकता है।
वेबलॉग XMLDecoder RCE
CVE-2017-3506 से शुरू, CVE-2019-2729 पर समाप्त होता है। हम ओरेकल पागल को ड्राइव करते हैं, आखिरकार वे ठीक करने के लिए WHITELIST का उपयोग करते हैं। pic.twitter.com/CWXN6zVAsQ- pyn3rd (@ pyn3rd) 20 जून, 2019
कौन सा ओरेकल वेबलॉगिक सर्वर CVE-2019-2729 के लिए कमजोर बने हुए हैं?
पिछले सुरक्षा बग के संबंध या संबंध के बावजूद, कई सुरक्षा शोधकर्ताओं ने सक्रिय रूप से Oracle के लिए नए WebLogic शून्य-दिन भेद्यता की सूचना दी। शोधकर्ताओं के अनुसार, बग ओरेकल वेबलॉगिक सर्वर संस्करणों 10.3.6.0.0, 12.1.3.0.0, 12.2.3.3.0 को प्रभावित करता है।
दिलचस्प बात यह है कि ओरेकल ने सुरक्षा पैच जारी करने से पहले भी, सिस्टम प्रशासकों के लिए कुछ वर्कअराउंड थे। जो लोग जल्दी से अपने सिस्टम की रक्षा करना चाहते थे, उन्हें दो अलग-अलग समाधान पेश किए गए जो अभी भी काम कर सकते हैं:
परिदृश्य -1: wls9_async_response.war, wls-wsat.war ढूंढें और हटाएं और वेबलॉजिक सेवा को पुनरारंभ करें। परिदृश्य -2: नियंत्रण नियंत्रण नियंत्रण द्वारा / _async / * और / wls-wsat / * पथ के लिए URL पहुँच को नियंत्रित करता है।
सुरक्षा शोधकर्ता लगभग 42,000 इंटरनेट-सुलभ वेबलॉजिक सर्वरों की खोज करने में सक्षम थे। उल्लेख करने की आवश्यकता नहीं है, भेद्यता का फायदा उठाने के लिए हमलावरों के अधिकांश कॉर्पोरेट नेटवर्क को लक्षित कर रहे हैं। हमले के पीछे प्राथमिक इरादा क्रिप्टो-माइनिंग मालवेयर को गिराना प्रतीत होता है। सर्वर में सबसे शक्तिशाली कंप्यूटिंग शक्ति होती है और इस तरह के मैलवेयर विवेकपूर्ण तरीके से मेरा क्रिप्टोकरेंसी के लिए उपयोग करते हैं। कुछ रिपोर्टों से संकेत मिलता है कि हमलावर मोनरो-खनन मालवेयर तैनात कर रहे हैं। हमलावरों को मालवेयर वेरिएंट के दुर्भावनापूर्ण कोड को छिपाने के लिए प्रमाणपत्र फ़ाइलों का उपयोग करने के लिए भी जाना जाता था। यह एंटी-मैलवेयर सॉफ्टवेयर द्वारा डिटेक्शन को मिटाने के लिए काफी सामान्य तकनीक है।
