CVE-2020-2555: RCE Through a Deserialization Bug in Oracle’s WebLogic Server

CVE-2020-2555: RCE ข้อผิดพลาดกระบวนการ Deserialization ใน Oracle WebLogic Server (09/03/2020)

นักวิจัยด้านความปลอดภัย Jang จาก VNPT ISC ได้ประกาศการค้นพบช่องโหว่ใหม่ผ่านโครงการ Zero Day Initiative (ZDI) กับไลบรารี Oracle Coherence ซึ่งใช้ใน Oracle WebLogic Server

ช่องโหว่ใหม่ล่าสุดรหัสผ่าน CVE-2020-2555 นี้เป็นช่องโหว่ Deserialization ซึ่งส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution - RCE) และมีความง่ายในการโจมตี ด้วยคุณลักษณะของช่องโหว่นี้ การประเมินความรุนแรงของช่องโหว่ด้วยเกณฑ์ CVSS จึงทำให้ช่องโหว่นี้ได้รับคะแนนสูงถึง 9.8 หรืออยู่ในระดับวิกฤติสูงสุด

ในขณะนี้ทาง Oracle ได้เผยแพร่ Patch เพื่อแก้ไขช่องโหว่แก่ Oracle Coherence ในรุ่น 3.7.1.17, 12.1.3.0.0, 12.2.1.3.0 และ 12.2.1.40 เราขอแนะนำผู้ใช้ทำการอัพเกรด Oracle Coherence โดยเร็วที่สุด และขอแนะนำให้ผู้ใช้ที่ใช้ Oracle WebLogic Server ปิดการใช้งานโปรโตคอล T3 เพื่อหลีกเลี่ยงการโจมตีที่เป็นอันตรายด้วย

ที่มา : zerodayinitiative