محققان امنیتی یک #آسیبپذیری روز صفرم اجرای کد از راه دور کشف کردهاند که بر سرور Oracle WebLogic تأثیرمیگذارد و بهطور گسترده مورد سوءاستفاده قرار گرفته است.
بهگفتهی محققان، این نقص نسخههای WebLogic 10.x و WebLogic 12.1.3 را تحت تأثیر قرار میدهد. بیش از 36،000 سرور WebLogic ازجمله آخرین نسخهی آن، نسبت به این حملات آسیبپذیر هستند و صاحبان سرورها باید راهحلهای لازم را برای مقابله با هرگونه نقض احتمالی ایجاد کنند.
مهاجمان در این حملات، سرورهای WebLogic که مؤلفههای "WLS9_ASYNC" و "WLS-WSAT" را اجرا میکنند، هدف قرار میدهند. مؤلفهی اول از عملیات ناهمزمان سرور پشتیبانی میکند، در حالی که مؤلفهی دوم، امنیت سرور است.
یک آسیبپذیری در این دو مؤلفه وجود دارد که میتواند باعث تحریک کد مخرب شود و اجازه دهد که یک هکر به سیستم مورد نظر دسترسی پیدا کند.
مهاجم میتواند از طریق این آسیبپذیری، از راه دور دستورات را بدون ارسال مجوز و با ارسال یک درخواست HTTP ویژهی ساختهشده، مورد سوءاستفاده قرار دهد.
برای جلوگیری از این حملات، توصیه میشود که شرکتها، یا اجزای آسیبپذیر را حذف کنند و سرورهای WebLogic خود را مجدداً راه اندازی کنند یا قوانین دیوار آتش را برای جلوگیری از درخواست به دو مسیر URL (/_async/* و /wls-wsat/*) که توسط حملات مورد استفاده قرار میگیرند، فعال کنند.
بهگفتهی محققان، مهاجمان فقط به دنبال سرورهای WebLogic هستند و سعی در رها کردن نرمافزارهای مخرب و یا اجرای کد مخرب در میزبان آسیبپذیر ندارند. اما فعالیت آنها در هفتههای آینده تغییر خواهد کرد و آنها پس از یافتن سرورها و پروندههای آسیب پذیر، حملات کامل خود را آغاز خواهند کرد.
سرورهای WebLogic همواره مورد علاقهی هکرها بودهاند. این به این دلیل است که سرورهای WebLogic معمولاً به مقادیر زیادی از منابع دسترسی دارند. علاوهبراین، به دلیل اینکه سرورهای WebLogic اغلب در شبکههای سازمانی یا برای اجرای اینترانتها یا دیگر برنامههای سازمانی دولتی مستقر میشوند، هر گونه مشکلی از یک سرور WebLogic به راحتی میتواند به یک فاجعه تبدیل شود و اطلاعات حساس تجارتی را در اختیار هکرها قرار دهد.
اوراکل به روز رسانی امنیتی را برای رفع این آسیبپذیری که شناسهی "CVE-2019-2725" به آن اختصاص داده شده است، منتشر کرد. به صاحبان سرور Oracle WebLogic توصیه میشود تا در اسرع وقت آن را وصله کنند.
- 9