Havaittu aktiivista Oracle WebLogic palvelimen hyväksikäyttöä | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Havaittu aktiivista Oracle WebLogic palvelimen hyväksikäyttöä

29. lokakuuta 2020 klo 10.58, päivitetty 4. marraskuuta 2020 klo 12.11

Viikko sitten julkaistuissa päivityksissä Oracle paikkasi CVE-2020-14882 haavoittuvuuden. PoC:t ovat nyt julkisia ja haavoittuvuutta hyväksikäytetään aktiivisesti. Mikäli päivityspakettia ei ole vielä asennettu, tulee päivitykset asentaa välittömästi.

Haavoittuvuuden havainnollistava esimerkkikoodi (PoC) on julkaistu ja sitä käytetään aktiivisesti hyväksi. Hyväksikäyttö mahdollistaa tunnistautumattomalle hyökkääjälle pääsyn HTTP:n kautta Oracle WebLogic palvelimelle. Haavoittuvuuden hyväksikäyttö mahdollistaa myös Oracle WebLogic palvelimen haltuunottamisen.

Haavoittuvuus (CVE-2020-14882) on saanut CVSS arvoksi 9.8/10

 

Haavoittuvuuden kohde

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

Mistä on kysymys?

Oraclen lokakuun 2020 päivityspaketista löytyy korjaus haavoittuuvuudelle, päivitykset tulee ottaa käyttöön viipymättä.

 

 

Mitä voin tehdä?

Haavoittuvuuteen liittyy myös 2.11.2020 julkaistu CVE-2020-14750, jonka avulla hyökkääjä voi päästä tunnistautumattomana Oracle WebLogic palvelimelle.

ISC: PATCH NOW: CVE-2020-14882 Weblogic Actively Exploited Against Honeypots (ulkoinen linkki)
MITRE: CVE-2020-14882 (ulkoinen linkki)
Oracle: Oracle Critical Patch Update Advisory - October 2020 (ulkoinen linkki)
Oracle: Oracle Security Alert Advisory - CVE-2020-14750 (ulkoinen linkki)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

29. lokakuuta 2020 klo 12.20 29.10.2020 Avattu termi PoC