Kriittistä Oracle WebLogic Server- palvelinohjelmiston haavoittuvuutta hyväksikäytetään hyökkäyksissä | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittistä Oracle WebLogic Server- palvelinohjelmiston haavoittuvuutta hyväksikäytetään hyökkäyksissä

2. toukokuuta 2020 klo 14.46

Oracle kertoo saaneensa tietoja meneillään olevista hyökkäyksistä, joissa hyväksikäytetään WebLogic Server -palvelinohjelmiston kriittistä haavoittuvuutta CVE-2020-2883. Haavoittuvuus koskee useita eri WebLogic Server -palvelinohjelmiston versioita.

Oraclen mukaan Oralce WebLogic Server -palvelinohjelmiston haavoittuvuutta hyväksikäytetään meneillään olevissa hyökkäyksissä. Haavoitttuvuus on korjattu Oraclen huhtikuun päivityspaketissa

Haavoittuvuudelle on myös julkaistu toteen näyttävä PoC (Proof of Concept) -koodi.

Oracle suosittelee asiakkaitaan asentamaan huhtikuun päivityspaketin, joka korjaa tämän haavoittuvuuden lisäksi satoja muitakin haavoittuvuuksia. 

Oracle Java Cloud Services -palvelun asiakkaita suositellaan tutustumaan asiakkaille tarkoitettuun tarkempia ohjeita sisältävään “Security Notification for WLS CVE-2020-2883 in Java Cloud Service” (Doc ID 2664856.1) -dokumenttiin.
 

Haavoittuvuuden kohde

  • Oracle WebLogic Server -palvelinohjelmiston versiot: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0

Mistä on kysymys?

  • Asenna Oraclen huhtikuun päivityspaketissa julkaistu korjaava ohjelmistopäivitys

Mitä voin tehdä?

https://www.oracle.com/security-alerts/cpuapr2020.html
https://blogs.oracle.com/security/apply-april-2020-cpu
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=2664856.1
https://www.zerodayinitiative.com/advisories/ZDI-20-504/
https://www.zerodayinitiative.com/advisories/ZDI-20-570/
CVE-2020-2883

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.