مرکز آپا دانشگاه کردستان

آسیب‌پذیری اجرای کد از راه دور احراز هویت نشده در سرورهای Oracle WebLogic

سرورهای Oracle WebLogic دارای آسیب‌پذیری جدید عدم سریالی سازی هستند که می‌تواند به مهاجم از راه دور، اجازه اجرای دستورات در میزبان آسیب‌پذیر را بدهد. از کشورهای درمعرض این آسیب‌پذیری، می‌توان به ترتیب به ایالات متحده، چین، ایران، هلند و آلمان اشاره کرد که ایران رتبه‌ی سوم را در این سرورهای آسیب‌پذیر Oracle WebLogic دارد. در تاریخ 17 آوریل، پایگاه داده‌ای آسیب‌پذیری چین (CNVD) یک گزارش امنیتی درباره آسیب‌پذیری اجرای کد از راه دور احراز هویت نشده را با شناسه (CNVD-C-2019-48814) و موجود در سرورهای Oracle WebLogic منتشر کرد. سرور Oracle WebLogic برای گسترش و مدیریت نرم‌افزار‌های کاربردی وب استفاده می‌شود. یک مهاجم می‌تواند درخواستی را برای سرور WebLogic ارسال کند که برای تکمیل درخواست، موجب رسیدن به یک میزبان مخرب می‌شود و با دسترسی به سرور WebLogic منجر به حمله اجرای کد از راه دور می‌شود. محققان Tenable برای درک عمیق‌تر از حمله و خطر آن، این آسیب‌پذیری را بررسی کرده‌اند و با بحث‌های پیرامون این که چگونه این آسیب‌پذیری به کار گرفته می‌شود و نحوه‌ی تفاوت آن با آسیب‌پذیری CVE-2017-10271، محققان Tenable کد اثبات مفهوم (PoC) این آسیب‌پذیری را برای نسخه مورد هدف تا آخرین نسخه‌های سرور WebLogic و پردازنده مورد کاربرد Oracle ایجاد کرده‌اند. مهاجم می‌تواند درخواست‌های آلوده XML را به سرور WebLogic ارسال کند و سرور برای تکمیل درخواست داده شده، به یک میزبان مخرب خاص می‌رسد که باعث می‌شود سرور کد دلخواه را از راه دور اجرا کند. سپس سرور WebLogic یک پاسخ XML دیگر را از میزبان مخرب‌ که حاوی دستورالعمل‌هایی اضافی برای اکسپلویت است، دریافت می‌کند. راه‌حل: اوراکل یک به‌روزرسانی امنیتی رسمی را برای این آسیب‌پذیری منتشر کرده است که برای سرور WebLogic نسخه 10.3.6 در دسترس است و همچنین به‌روزرسانی امنیتی به نسخه 12.1.3 برای انتشار در تاریخ 29 آوریل 2019 برنامه‌ریزی شده است. CNVD همچنین برای رفع این آسیب‌پذیری راه حل‌های زیر را مطرح کرده است: • بسته war را از سرور WebLogic پاک کنید و سرویس Weblogic را راه‌ اندازی مجدد کنید. • غیرفعال کردن یا محدود کردن دسترسی مسیر URLهای “/_async/*” و “/wls-wsat/” در سرور WebLogic. علاوه بر این، Tenable توصیه می‌کند که لیست سفید و منبع‌های مورد اعتماد سازمانتان در سرور WebLogic را مجدداً بازبینی کنید. اگر میزبان مخرب غیر قابل اعتمادی در لیست سفید سازمان شما وجود نداشته باشد، خطر حمله از طریق اکسپلویت‌های شناخته شده کنونی، کاهش می‌یابد، چون اکسپلویت‌های شناخته شده برای این آسیب‌‌پذیری، نیاز به دسترسی به میزبانی مخرب از طریق خود سرور دارند.