کشف آسيب‌پذيری جديد روز صفرم در سرورهای Oracle WebLogic

به گزارش کارگروه امنیت سایبربان؛ به گفته‌ی محققان، این نقص نسخه‌های WebLogic 10.x و WebLogic 12.1.3 را تحت تأثیر قرار می‌دهد. بیش از 36،000 سرور WebLogic ازجمله آخرین نسخه‌ی آن، نسبت به این حملات آسیب‌پذیر هستند و صاحبان سرورها باید راه‌حل‌های لازم را برای مقابله با هرگونه نقض احتمالی ایجاد کنند.

مهاجمان در این حملات، سرورهای WebLogic که مؤلفه‌های WLS9_ASYNC  و WLS-WSAT را اجرا می‌کنند، هدف قرار می‌دهند. مؤلفه‌ی اول از عملیات ناهم‌زمان سرور پشتیبانی می‌کند، درحالی‌که مؤلفه‌ی دوم، امنیت سرور است.

یک آسیب‌پذیری در این دو مؤلفه وجود دارد که می‌تواند باعث تحریک کد مخرب شود و اجازه دهد که یک هکر به سیستم مورد نظر دسترسی پیدا کند.

مهاجم می‌تواند از طریق این آسیب‌پذیری، از راه دور دستورات را بدون ارسال مجوز و با ارسال یک درخواست HTTP ویژه‌ی ساخته‌شده، مورد سوءاستفاده قرار دهد.

برای جلوگیری از این حملات، توصیه می‌شود که شرکت‌ها، یا اجزای آسیب‌پذیر را حذف کنند و سرورهای WebLogic خود را مجدداً راه اندازی کنند یا قوانین دیوار آتش را برای جلوگیری از درخواست به دو مسیر URL (/_async/* و /wls-wsat/*) که توسط حملات مورد استفاده قرار می‌گیرند، فعال کنند.

به‌گفته‌ی محققان، مهاجمان فقط به دنبال سرورهای WebLogic هستند و سعی در رها کردن نرم‌افزارهای مخرب و یا اجرای کد مخرب در میزبان آسیب‌پذیر ندارند. اما فعالیت آن‌ها در هفته‌های آینده تغییر خواهد کرد و آن‌ها پس از یافتن سرورها و پرونده‌های آسیب‌پذیر، حملات کامل خود را آغاز خواهند کرد.

سرورهای WebLogic همواره موردعلاقه‌ی هکرها بوده‌اند. این به این دلیل است که سرورهای WebLogic معمولاً به مقادیر زیادی از منابع دسترسی دارند. علاوه‌براین، به دلیل اینکه سرورهای WebLogic اغلب در شبکه‌های سازمانی یا برای اجرای اینترانت‌ها یا دیگر برنامه‌های سازمانی دولتی مستقر می‌شوند، هرگونه مشکلی از یک سرور WebLogic به راحتی می‌تواند به یک فاجعه تبدیل شود و اطلاعات حساس تجارتی را در اختیار هکرها قرار دهد.

اوراکل به‌روزرسانی امنیتی را برای رفع این آسیب‌پذیری که شناسه‌ی CVE-2019-2725 به آن اختصاص داده شده است، منتشر کرد. به صاحبان سرور Oracle WebLogic توصیه می‌شود تا در اسرع وقت آن را وصله کنند.