Обновлено 29.04.2019. Добавлена информация о выпуске патча.

В сервере приложений Oracle WebLogic обнаружена брешь, позволяющая злоумышленнику перехватить управление целевой системой. Производитель пока не выпустил заплатку для этого бага, а киберпреступники уже сканируют Интернет в поисках уязвимых машин. ИБ-специалисты, ссылаясь на данные поисковика ZoomEye, заявляют, что под угрозой взлома находятся более 36 тыс. систем.

Аналитики китайской компании KnownSec 404 зафиксировали всплеск обращений к двум компонентам серверов WebLogic. Удаленные злоумышленники искали системы с установленными модулями wls9_async и wls-wsat, один из которых отвечает за выполнение асинхронных операций, а другой входит в контур безопасности. Как выяснили эксперты, недостатки в этих компонентах позволяют атакующему вызвать ошибку десериализации и захватить контроль над системой.

Баг затрагивает все версии WebLogic. Исследователи выяснили, что большинство уязвимых серверов находятся на территории США и Китая. Компания Oracle выпускает обновления безопасности для своих разработок раз в три месяца, поэтому заплатка для этой бреши появится не раньше июля 2019 года. В качестве кременной меры защиты специалисты рекомендуют отключить проблемные компоненты или настроить блокировку внешних обращений к содержимому директорий /_async/ и /wls-wsat/.

Сообщение экспертов KnownSec 404 подтвердили аналитики других ИБ-компаний. Как отмечают специалисты, пока киберпреступники лишь ищут уязвимые системы, но не устанавливают на них вредоносное ПО, хотя в ближайшее время ситуация может перемениться.

В прошлом году разработчикам Oracle пришлось бороться с двумя критическими багами в WebLogic, каждый из которых оценили в 9,8 балла по шкале CVSS.

Весной 2018-го вышла заплатка для бреши CVE-2018-2628, допускавшей несанкционированное выполнение кода через доступ к TCP-порту 7001. По мнению экспертов, патч оказался неполным, и злоумышленники могли обойти его.

О бреши CVE-2018-2893 стало известно после выхода июльского комплекта обновлений безопасности. Уязвимость позволяла атакующему захватить сервер и не требовала от злоумышленника высокой квалификации. Уже через три дня в Интернете появился общедоступный эксплойт, а киберпреступники принялись сканировать сеть в поисках непропатченных серверов.

Update. Ввиду реальности угрозы эксплойта компания Oracle в экстренном порядке выпустила патч для уязвимости, которой был присвоен идентификатор  CVE-2019-2725. Степень опасности бреши, позволяющей удаленно выполнить произвольный код без аутентификации, оценена в 9,8 балла по шкале CVSS. Согласно бюллетеню разработчика, проблема актуальна для WebLogic Server 10.3.6.0.0 и 12.1.3.0.0. Установить обновление следует незамедлительно.

Категории: Главное, Уязвимости