Vulnerabilidade de dia zero no Oracle WebLogic. Em Portugal, 261 aplicações estão vulneráveis

Os componentes wls9_async e wls-wsat do Oracle WebLogic são afetados por uma vulnerabilidade RCE de dia zero relacionada com a desserialização de objetos.

New Oracle #WebLogic #RCE #Deserialization 0-day Vulnerability. No vendor fix yet! Speak to @waratek for guaranteed active protection against 0-day RCE attacks with no blacklists, signatures, or profiling #NoSourceCodeChanges https://t.co/mvtOGKpKPh pic.twitter.com/K6q7RVnCn6

— Waratek (@waratek) April 24, 2019

Essa falha de dia zero afeta todas as versões do Weblogic, incluindo a mais recente, que possuem os componentes wls9_async_response.war e wls-wsat.war ativados.

O Oracle WebLogic Server é um servidor de aplicações Java EE desenvolvido atualmente pela Oracle Corporation, e é usado por várias aplicações e portais web baseados na tecnologia Java. A falha recebeu o identificador CNVD-C-2019-48814.

Um atacante pode explorar a vulnerabilidade de forma a  executar comandos remotos (RCE) sem autorização e apenas enviando uma solicitação HTTP especialmente criada.

De acordo com o boletim CNTA-2019-0015 emitido pelo CNCERT / CC, a falha afeta as versões WebLogic 10.xe WebLogic 12.1.3. O grau de criticalidade da falha ainda não foi abordada pela Oracle.

Os especialistas recomendam desativar os módulos vulneráveis ​​“wls9_async_response.war” e “wls-wsat.war” ou inibir o acesso a URLs “/ _async / *“ e ”/ wls-wsat / *“ nas instalações do Oracle WebLogic.

Especialistas do KnownSec 404 Team encontraram várias instâncias vulneráveis ​​online usando o mecanismo de busca ZoomEye. Foram encontradas 36.173 instalações, a maioria nos EUA e na China.

Já em Portugal, foram identificadas 261 instalações vulneráveis.

Com a seguinte distribuição geográfica das plataformas vulneráveis:

Especialistas da F5 Labs revelaram já terem detectado uma campanha explorando a falha do dia zero em servidores Weblogic.

[In Review] Watch out! New campaign spotted targeting #Weblogic servers using a zero-day deserialization vulnerability leading to Remote Code Execution. #0day pic.twitter.com/eNTEOTa90U

— F5 Labs (@F5Labs) April 23, 2019

Medias de prevenção/mitigação

Scenario-1: Find and delete wls9_async_response.war, wls-wsat.war and restart the Weblogic service

Scenario-2: Controls URL access for the /_async/* and /wls-wsat/* paths by access policy control.

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks.  He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.

Read more here.