آسيبپذيری جديد روز صفرم در سرورهای ORACLE WEBLOGIC، منجر به اجرای کد از راه دور میشود.
منبع : مرکز ماهر
آسيبپذيری جديد روز صفرم در سرورهای ORACLE WEBLOGIC، منجر به اجرای کد از راه دور میشود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیتی یک آسیبپذیری روز صفرم اجرای کد از راه دور کشف کردهاند که بر سرور Oracle WebLogic تأثیرمیگذارد و بهطور گسترده مورد سوءاستفاده قرار گرفته است.
بهگفته محققان، این نقص نسخههای WebLogic ۱۰.x و WebLogic ۱۲.۱.۳ را تحت تأثیر قرار میدهد. بیش از ۳۶،۰۰۰ سرور WebLogic ازجمله آخرین نسخهی آن، نسبت به این حملات آسیبپذیر هستند و صاحبان سرورها باید راهحلهای لازم را برای مقابله با هرگونه نقض احتمالی ایجاد کنند.
مهاجمان در این حملات، سرورهای WebLogic که مؤلفههای WLS9_ASYNC و WLS-WSAT را اجرا میکنند، هدف قرار میدهند. مؤلفه اول از عملیات ناهمزمان سرور پشتیبانی میکند، در حالی که مؤلفه دوم، امنیت سرور است.
یک آسیبپذیری در این دو مؤلفه وجود دارد که میتواند باعث تحریک کد مخرب شود و اجازه دهد که هکر به سیستم موردنظر دسترسی پیدا کند.
مهاجم میتواند از طریق این آسیبپذیری، دستورات را بدون ارسال مجوز و با ارسال یک درخواست HTTP ویژه ساختهشده از راه دور مورد سوءاستفاده قرار دهد.
برای جلوگیری از این حملات، توصیه میشود که شرکتها یا اجزای آسیبپذیر را حذف کنند و سرورهای WebLogic خود را مجدداً راهاندازی کنند یا قوانین دیوار آتش را برای جلوگیری از درخواست به دو مسیر URL (/_async/* و /wls-wsat/*) فعال کنند که توسط حملات مورد استفاده قرار میگیرند.
بهگفته محققان، مهاجمان فقط به دنبال سرورهای WebLogic هستند و سعی در رها کردن نرمافزارهای مخرب و یا اجرای کد مخرب در میزبان آسیبپذیر ندارند. اما فعالیت آنها در هفتههای آینده تغییر خواهدکرد و آنها پس از یافتن سرورها و پروندههای آسیبپذیر، حملات کامل خود را آغاز خواهندکرد.
سرورهای WebLogic همواره مورد علاقه هکرها بودهاند. این به این دلیل است که سرورهای WebLogic معمولاً به مقادیر زیادی از منابع دسترسی دارند. علاوهبر این، به دلیل اینکه سرورهای WebLogic اغلب در شبکههای سازمانی یا برای اجرای اینترانتها یا دیگر برنامههای سازمانی دولتی مستقر میشوند، هرگونه مشکلی از یک سرور WebLogic بهراحتی میتواند به یک فاجعه تبدیل شود و اطلاعات حساس تجارتی را در اختیار هکرها قرار دهد.
اوراکل بهروزرسانی امنیتی را برای رفع این آسیبپذیری که شناسه CVE-۲۰۱۹-۲۷۲۵ به آن اختصاص داده شدهاست، منتشر کرد. به صاحبان سرور Oracle WebLogic توصیه میشود تا در اسرع وقت آن را وصله کنند.