Хакер #305. Многошаговые SQL-инъекции
Эксперты китайской компании KnownSec 404, стоящей за разработкой IoT-поисковика ZoomEye, обнаружили опасную проблему в Oracle WebLogic. Хотя производителя уже проинформировали об уязвимости, Oracle выпустила ежеквартальный набор исправлений для своих продуктов лишь на прошлой неделе, а значит, патч для нового бага, вероятнее всего, появится только в июле 2019 года. Баг получил идентификатор CNVD-C-2019-48814.
По данным ZoomEye, в сети можно обнаружить более 36 000 доступных серверов WebLogic, которые уязвимы перед новой проблемой. Большинство их них находятся в США и Китае.
Исследователи объясняют, что баг опасен для любых серверов Oracle WebLogic с запущенными компонентами WLS9_ASYNC и WLS-WSAT. Первый компонент нужен для выполнения асинхронных операций, а второй является защитным решением. Так как исправлений пока не существует, эксперты не вдаются в технические подробности, но пишут, что уязвимость связана с десериализацией и позволяет удаленному атакующему добиться выполнения любых команд без авторизации (с помощью специального HTTP-запроса).
Пока в качестве защитных мер рекомендуется либо полностью избавиться от проблемных компонентов, удалив их и перезапустив сервер WebLogic, либо создать правила, запрещающие запросы к /_async/* и /wls-wsat/*.
ИБ-эксперты других компаний подтверждают (1, 2), что уязвимость действительно уже находится под атакой (то есть о ней известно злоумышленникам), однако пока хакеры лишь «прощупывают почву»: атаки сводятся к сканированиям в поисках уязвимых серверов WebLogic и тестовым попыткам эксплуатации бага. Пока злоумышленники не пытаются размещать на серверах малварь или использовать их для других вредоносных операций.
К сожалению, такая ситуация вряд ли будет сохраняться долго, ведь мощные и крайне популярные в энтерпрайз-среде серверы Oracle WebLogic давно являются желанной добычей для злоумышленников. К примеру, зафиксированы случаи, когда скрытый майнинг на серверах Oracle WebLogic приносил атакующим более 226 000 долларов. Напомню, что в конце прошлого года мы посвятили уязвимостям в Oracle WebLogic отдельную статью.