رفع دو آسیب‌پذیری در IBM WebSphere Application Server

دو آسیب‌پذیری حیاتی در IBM WebSphere Application Server شناسایی و برطرف شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در ماه آوریل یک محقق امنیتی سه آسیب‌پذیری جدی در فرایند موسوم به Deserialization محصول WebSphere Application Server را شناسایی و وجود آنها را به IBM گزارش کرد. اکنون IBM ضمن ترمیم این آسیب‌پذی‌ها، جزییات آنها را نیز منتشر کرده است.

دو مورد از آنها با شناسه‌های CVE-۲۰۲۰-۴۴۴۸ و CVE-۲۰۲۰-۴۴۵۰ آسیب‌پذیری‌هایی از نوع اجرای کد از راه دور (Remote Code Execution) هستند که به آنها درجه حساسیت حیاتی (Critical) تخصیص داده شده است. بر طبق استاندارد CVSS سطح اهمیت هر دوی این آسیب‌پذیری‌ها ۹,۸ اعلام شده است. مورد سوم با شناسه CVE-۲۰۲۰-۴۴۴۹ و درجه حساسیت بالا (High) نیز ضعغی از نوع افشای اطلاعات (Information Disclosure) گزارش شده است.

IBM WebSpere یک بستر نرم‌افزاری و میان‌افزار و وظیفه آن میزبانی برنامه‌های وب مبتنی بر Java است.
آسیب‌پذیری‌های CVE-۲۰۲۰-۴۴۴۸ و CVE-۲۰۲۰-۴۴۵۰ از نبود اعتبارسنجی صحیح داده‌های تأمین شده از سوی کاربر ناشی می‌شوند که در نتیجه آن امکان ورود داده‌های نامعتبر به فرایند Deserialization ممکن می‌شود.

به گفته IBM بهره‌جویی از CVE-۲۰۲۰-۴۴۴۸ مهاجم را بدون نیاز به اصالت‌سنجی شدن قادر به اجرای کد بر روی توزیع‌های آسیب‌پذیر IBM WebSphere می‌کند. کلاس BroadcastMessageManager از این ضعف امنیتی تأثیر پذیرفته و بهره‌جویی موفق از آن امکان اجرای کد با سطح دسترسی SYSTEM را فراهم می‌کند.

آسیب‌پذیری CVE-۲۰۲۰-۴۴۵۰ نیز از نحوه مدیریت ناصحیح پودمان IIOP ناشی شده و سوءاستفاده از آن از طریق ارسال دنباله‌ای پیاپی از اشیاء (Sequence of Serialized Objects) که به‌نحو مخربی دستکاری شده می‌تواند منجر به اجرای کد مورد نظر مهاجم با سطح دسترسی root شود.

نسخ ۸,۵ و ۹.۰ محصول IBM WebSphere Application به این ضعف‌های امنیتی آسیب‌پذیر گزارش شده‌اند. ضمن اینکه محصول WebSphere Virtual Enterprise Edition نیز از CVE-۲۰۲۰-۴۴۴۸ تأثیر می‌پذیرد.

آسیب‌پذیری CVE-۲۰۲۰-۴۴۴۹ هم فرایند Deserialization در پودمان IIOP را متأثر کرده و به مهاجم امکان می‌دهد تا با ارسال دنباله‌ای پیاپی از اشیاء که به‌نحو مخربی دستکاری شده به‌صورت از راه دور و بدون نیاز به اصالت‌سنجی شدن به اطلاعات بالقوه حساس دست پیدا کند.

IBM اعلام کرد که شواهدی دال بر مورد بهره‌جویی قرار گرفتن آنها نیافته است.