Patch Kerentanan Zero-Day Server WebLogic Diterbitkan, Eksploitasi Perhatian Oracle Masih Aktif
Oracle mengakui kerentanan keamanan yang dieksploitasi secara aktif di server WebLogic yang populer dan digunakan secara luas. Meskipun perusahaan telah mengeluarkan tambalan, pengguna harus memperbarui sistem mereka paling awal karena bug zero-day WebLogic saat ini sedang dieksploitasi secara aktif. Kelemahan keamanan telah ditandai dengan tingkat "keparahan kritis". Skor Sistem Skor Kerentanan Umum atau skor dasar CVSS adalah 9,8 yang mengkhawatirkan.
Oracle baru-baru ini mengatasi kerentanan kritis yang memengaruhi server WebLogic-nya. Kerentanan zero-day WebLogic yang kritis mengancam keamanan online pengguna. Bug berpotensi memungkinkan penyerang jarak jauh untuk mendapatkan kontrol administratif penuh dari korban atau perangkat target. Jika itu tidak cukup mengkhawatirkan, begitu masuk, penyerang jarak jauh dapat dengan mudah mengeksekusi kode arbitrer. Penyebaran atau aktivasi kode dapat dilakukan dari jarak jauh. Meskipun Oracle telah dengan cepat mengeluarkan patch untuk sistem, terserah kepada administrator server untuk menyebarkan atau menginstal pembaruan karena bug zero-day WebLogic ini dianggap berada di bawah eksploitasi aktif.
Penasihat Peringatan Keamanan dari Oracle, yang secara resmi ditandai sebagai CVE-2019-2729 menyebutkan ancamannya adalah, “kerentanan deserialisasi melalui XMLDecoder di Oracle WebLogic Server Web Services. Kerentanan eksekusi kode jarak jauh ini dapat dieksploitasi dari jarak jauh tanpa otentikasi, yaitu, dapat dieksploitasi melalui jaringan tanpa memerlukan nama pengguna dan kata sandi.
Kerentanan keamanan CVE-2019-2729 telah mencapai tingkat keparahan kritis. Skor dasar CVSS 9,8 biasanya dicadangkan untuk ancaman keamanan yang paling parah dan kritis. Dengan kata lain, administrator server WebLogic harus memprioritaskan penyebaran patch yang dikeluarkan oleh Oracle.
Sebuah studi yang baru-baru ini dilakukan oleh Tim DiketahuiSec 404 China mengklaim bahwa kerentanan keamanan sedang dikejar atau digunakan secara aktif. Tim sangat merasakan eksploit baru pada dasarnya adalah bypass untuk patch dari bug yang sebelumnya dikenal secara resmi ditandai sebagai CVE-2019–2725. Dengan kata lain, tim merasa Oracle mungkin secara tidak sengaja meninggalkan celah dalam patch terakhir yang dimaksudkan untuk mengatasi kelemahan keamanan yang ditemukan sebelumnya. Namun, Oracle telah secara resmi mengklarifikasi bahwa kerentanan keamanan yang baru saja ditangani sama sekali tidak terkait dengan yang sebelumnya. Dalam posting blog yang dimaksudkan untuk menawarkan klarifikasi tentang hal yang sama, John Heimann, VP Security Program Management, mencatat, “Harap dicatat bahwa sementara masalah yang ditangani oleh peringatan ini adalah kerentanan deserialisasi, seperti yang dibahas dalam Peringatan Keamanan CVE-2019-2725, itu adalah kerentanan yang berbeda.”
Kerentanan dapat dengan mudah dieksploitasi oleh penyerang dengan akses jaringan. Penyerang hanya membutuhkan akses melalui HTTP, salah satu jalur jaringan yang paling umum. Penyerang tidak memerlukan kredensial otentikasi untuk mengeksploitasi kerentanan melalui jaringan. Eksploitasi kerentanan berpotensi mengakibatkan pengambilalihan server Oracle WebLogic yang ditargetkan.
Server Oracle WebLogic Mana yang Tetap Rentan Terhadap CVE-2019-2729?
Terlepas dari korelasi atau koneksi ke bug keamanan sebelumnya, beberapa peneliti keamanan secara aktif melaporkan kerentanan zero-day WebLogic baru ke Oracle. Menurut peneliti, bug dilaporkan mempengaruhi Oracle WebLogic Server versi 10.3.6.0.0, 12.1.3.0.0, 12.2.13.0.
Menariknya, bahkan sebelum Oracle mengeluarkan patch keamanan, ada beberapa solusi untuk administrator sistem. Mereka yang ingin melindungi sistem mereka dengan cepat ditawari dua solusi terpisah yang masih dapat berfungsi:
Peneliti keamanan dapat menemukan sekitar 42.000 server WebLogic yang dapat diakses melalui Internet. Tak perlu disebutkan, mayoritas penyerang yang ingin mengeksploitasi kerentanan menargetkan jaringan perusahaan. Niat utama di balik serangan itu tampaknya menjatuhkan malware penambangan kripto. Server memiliki beberapa kekuatan komputasi paling kuat dan malware semacam itu diam-diam menggunakan hal yang sama untuk menambang cryptocurrency. Beberapa laporan menunjukkan penyerang menyebarkan malware penambangan Monero. Penyerang bahkan diketahui telah menggunakan file sertifikat untuk menyembunyikan kode berbahaya varian malware. Ini adalah teknik yang cukup umum untuk menghindari deteksi oleh perangkat lunak anti-malware.