Foi descoberta uma vulnerabilidade de dia zero no Oracle WebLogic.

Os componentes wls9_async e wls-wsat do Oracle WebLogic são afetados por uma vulnerabilidade RCE de dia zero relacionada com a desserialização de objetos.

Essa falha de dia zero afeta todas as versões do Weblogic, incluindo a mais recente, que possuem os componentes wls9_async_response.war e wls-wsat.war ativados.

O Oracle WebLogic Server é um servidor de aplicações Java EE desenvolvido atualmente pela Oracle Corporation, e é usado por várias aplicações e portais web baseados na tecnologia Java. A falha recebeu o identificador CNVD-C-2019-48814.

Um atacante pode explorar a vulnerabilidade de forma a  executar comandos remotos (RCE) sem autorização e apenas enviando uma solicitação HTTP especialmente criada.

Weblogic-zeroday

De acordo com o boletim CNTA-2019-0015 emitido pelo CNCERT / CC, a falha afeta as versões WebLogic 10.xe WebLogic 12.1.3. O grau de criticalidade da falha ainda não foi abordada pela Oracle.

Os especialistas recomendam desativar os módulos vulneráveis ​​“wls9_async_response.war” e “wls-wsat.war” ou inibir o acesso a URLs “/ _async / *“ e ”/ wls-wsat / *“ nas instalações do Oracle WebLogic.

Especialistas do KnownSec 404 Team encontraram várias instâncias vulneráveis ​​online usando o mecanismo de busca ZoomEye. Foram encontradas 36.173 instalações, a maioria nos EUA e na China.

Já em Portugal, foram identificadas 261 instalações vulneráveis.

 

 

Com a seguinte distribuição geográfica das plataformas vulneráveis:

portugal2

Especialistas da F5 Labs revelaram já terem detectado uma campanha explorando a falha do dia zero em servidores Weblogic.

Medias de prevenção/mitigação

Scenario-1: Find and delete wls9_async_response.war, wls-wsat.war and restart the Weblogic service

Scenario-2: Controls URL access for the /_async/* and /wls-wsat/* paths by access policy control.