Oracle ออกแพตซ์อัปเดตด้านความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) ใน Oracle WebLogic Server ที่ส่งผลกระทบต่อ Oracle WebLogic Server หลายเวอร์ชัน

ช่องโหว่ CVE-2020-14750 และ CVE-2020-14882 (CVSSv3: 9.8/10) เป็นช่องโหว่การโจมตีจากระยะไกลที่ช่วยให้ผู้โจมตีสามารถควบคุมระบบได้โดยการส่ง Http request ที่สร้างขึ้นมาเป็นพิเศษและไม่มีการตรวจสอบสิทธิ์ไปยัง Oracle WebLogic Server เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0

เนื่องจาก Proof-of-Concept (PoC) ของช่องโหว่ถูกเผยแพร่สู่สาธารณะและมีผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบตามรายงานของ SANS Technology Institute จึงทำให้ Oracle ตัดสินใจออกเเพตซ์เป็นการเร่งด่วนเพื่อแก้ไขช่องโหว่และเพื่อเป็นการป้องกันระบบ

ทั้งนี้ผู้ดูแลระบบ Oracle WebLogic Server ควรทำการอัปเดตเเพตซ์ความปลอดภัยเป็นการเร่งด่วนและควรทำการปิดการเข้าถึงเซิฟเวอร์จากอินเตอร์เน็ตเพื่อเป็นการป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: zdnet

 

พบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ระดับ “Critical” ใน Oracle WebLogic Server

Johannes Ullrich หัาหน้าฝ่ายวิจัยจาก SANS Technology Institute ได้เเจ้งเตือนถึงการตรวจพบการใช้ประโยชน์จากช่องโหว่ CVE-2020-14882 (CVSSv3: 9.8/10) ซึ่งเป็นช่องโหว่การโจมตีจะระยะไกลที่ช่วยให้สามารถควบคุมระบบได้โดยการส่ง Http request ที่สร้างขึ้นมาเป็นพิเศษและไม่มีการตรวจสอบสิทธิ์ไปยัง Oracle WebLogic Server เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0

การตรวจพบเกิดจากผู้ประสงค์ร้ายได้ทำการเข้าถึง Honeypot Server ที่ใช้อินสแตนซ์ Oracle WebLogic Server ที่ยังไม่ได้รับการเเพตซ์ความปลอดภัยหลัง Oracle ได้เปิดตัวเเพตซ์การอัปเดตครั้งใหญ่จำนวน 402 ช่องโหว่เมื่อสัปดาห์ก่อน

Ullrich กล่าวว่าการพยายามหาประโยชน์จากช่องโหว่ที่ถูกบันทึกโดย Honeypot Server นั้นถูกระบุว่าเป็นเพียงแค่ตรวจสอบว่าระบบมีช่องโหว่หรือไม่และจากเทคนิคการพยายามหาประโยชน์จากช่องโหว่นั้นมาจากรายละเอียดทางเทคนิคในบล็อกโพสต์ที่เผยแพร่โดย Nguyen Jang นักวิจัยชาวเวียดนาม

จากการตรวจสอบและทำการสแกนการค้นหาด้วย Spyse engine พบว่ามี Oracle WebLogic Server จำนวนมากกว่า 3,000 เซิร์ฟเวอร์ที่สามารถเข้าถึงได้ผ่านอินเทอร์เน็ตและอาจเสี่ยงต่อการใช้ประโยชน์จากช่องโหว่ CVE-2020-14882

ทั้งนี้ผู้ดูแลระบบ Oracle WebLogic Server ควรทำการอัปเดตเเพตซ์ความปลอดภัยโดยด่วนและควรทำการปิดการเข้าถึงเซิฟเวอร์จากอินเตอร์เน็ตเพื่อเป็นการป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer

Oracle ออกเเพตซ์เเก้ไขช่องโหว่ 402 รายการใน Critical Patch Update October 2020

Oracle ได้ออกประกาศ Critical Patch Update October 2020 ซึ่งเป็นการประกาศอัปเดตเเพตซ์ความปลอดภัยประจำเดือนตุลาคม 2020 ของ Oracle โดยในเดือนตุลาคมนี้ Oracle ได้ทำการเเก้ไขเเพตซ์ความปลอดภัยเป็นจำนวน 402 รายการในผลิตภัณฑ์ 27 ตระกูลผลิตภัณฑ์ของ Oracle ทั้งนี้ช่องโหว่ที่มีความรุนเเรงละมีความสำคัญมีดังนี้

ช่องโหว่ CVE-2020-14825, CVE-2020-14841 และ CVE-2020-14859 (CVSSv3: 9.8/10) เป็นช่องโหว่ใน Oracle WebLogic Server โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์เข้าถึงเครือข่ายผ่านทาง Oracle T3 หรือ Internet Inter-ORB Protocol (IIOP) เพื่อทำการบุกรุกเซิร์ฟเวอร์ ทั้งนี้ช่องโหว่ทั้งสามมีผลกับเวอร์ชัน Oracle WebLogic Server เวอร์ชัน 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0.0 ส่วน CVE-2020-14841 และ CVE-2020-14859 จะมีผลกับเวอร์ชัน 10.3.6.0.0 และ 12.1.3.0.0
ช่องโหว่ CVE-2020-14882 (CVSSv3: 9.8/10) เป็นช่องโหว่ในคอมโพเนนต์คอนโซลของ Oracle WebLogic Server ช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถโจมตีเซิร์ฟเวอร์ Oracle WebLogic ผ่าน HTTP ซึ่งช่องโหว่จะส่งผลให้เกิดการยึดครองเซิร์ฟเวอร์ที่เป็นเป้าหมาย ช่องโหว่นี้มีผลกับ Oracle WebLogic Server เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0.0
ช่องโหว่ CVE-2019-17267 (CVSSv3: 9.8/10) เป็นช่องโหว่ในส่วนประกอบ Centralized Third Party Jars (jackson-databind) ของ Oracle WebLogic Server ช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถโจมตีเซิร์ฟเวอร์ Oracle WebLogic ผ่าน HTTP ซึ่งช่องโหว่จะส่งผลให้เกิดการยึดครองเซิร์ฟเวอร์ที่เป็นเป้าหมาย ช่องโหว่นี้มีผลกับ Oracle WebLogic Server เวอร์ชัน 12.2.1.3.0
ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อทำการเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ ผู้ที่สนใจรายละเอียดของช่องโหว่เพิ่มเติมสามารถดูได้ที่นี่: https://www.

CVE-2020-2555: RCE ข้อผิดพลาดกระบวนการ Deserialization ใน Oracle WebLogic Server (09/03/2020)

นักวิจัยด้านความปลอดภัย Jang จาก VNPT ISC ได้ประกาศการค้นพบช่องโหว่ใหม่ผ่านโครงการ Zero Day Initiative (ZDI) กับไลบรารี Oracle Coherence ซึ่งใช้ใน Oracle WebLogic Server

ช่องโหว่ใหม่ล่าสุดรหัสผ่าน CVE-2020-2555 นี้เป็นช่องโหว่ Deserialization ซึ่งส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution - RCE) และมีความง่ายในการโจมตี ด้วยคุณลักษณะของช่องโหว่นี้ การประเมินความรุนแรงของช่องโหว่ด้วยเกณฑ์ CVSS จึงทำให้ช่องโหว่นี้ได้รับคะแนนสูงถึง 9.8 หรืออยู่ในระดับวิกฤติสูงสุด

ในขณะนี้ทาง Oracle ได้เผยแพร่ Patch เพื่อแก้ไขช่องโหว่แก่ Oracle Coherence ในรุ่น 3.7.1.17, 12.1.3.0.0, 12.2.1.3.0 และ 12.2.1.40 เราขอแนะนำผู้ใช้ทำการอัพเกรด Oracle Coherence โดยเร็วที่สุด และขอแนะนำให้ผู้ใช้ที่ใช้ Oracle WebLogic Server ปิดการใช้งานโปรโตคอล T3 เพื่อหลีกเลี่ยงการโจมตีที่เป็นอันตรายด้วย

ที่มา : zerodayinitiative

Oracle ออกแพตช์ประจำไตรมาสของเดือนมกราคม 2020 แก้ไขช่องโหว่ 334 ช่องโหว่ในหลายผลิตภัณฑ์ มี 43 ช่องโหว่ที่มีความรุนแรงระดับ Critical ทั้งนี้หลายๆ ช่องโหว่สามารถถูกโจมตีระยะไกลได้โดยผู้โจมตีที่ไม่ต้องเข้าสู่ระบบ

ตัวอย่างช่องโหว่ที่สา่มารถโจมตีจากระยะไกลได้โดยผู้โจมตีที่ไม่ต้องเข้าสู่ระบบได้แก่ช่องโหว่ใน Oracle WebLogic Server CVE-2020-2546 และ CVE-2020-2551 ถ้าโจมตีช่องโหว่ทั้งสองนี้สำเร็จจะสามารถรันคำสั่งอันตรายจากระยะไกลได้ (RCE)

CVE-2020-2546 เป็นช่องโหว่ใน WLS Core Component ผู้โจมตีสามารถโจมตีผ่านโปรโตคอล T3 ได้ส่งผลกระทบ WebLogic Server รุ่น 10.3.6.0.0 และ 12.1.3.0.0

CVE-2020-2551 เป็นช่องโหว่ใน Application Container - JavaEE ผู้โจมตีโจมตีผ่านโปรโตคอล IIOP ได้ ส่งผลกระทบ 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 และ 12.2.1.4.0

ทั้งสองช่องโหว่นี้ยังไม่มีการเผยแพร่ POC แต่มีนักวิจัยด้านความปลอดภัยหลายๆ คนเผยแพร่ภาพและวิดีโอว่าสามารถโจมตีช่องโหว่ทั้งสองได้แล้ว

ผู้ดูแลระบบควรอัปเดตแพตช์เพื่อความปลอดภัย ในกรณีที่ไม่สามารถอัปเดตแพตช์ได้ ผู้ดูแลระบบสามารถพิจารณาปิดการใช้งานโปรโตคอล T3 และโปรโตคอล IIOP เพื่อลดความเสี่ยงจากการโจมตี

สามารถดูรายการช่องโหว่ทั้งหมดที่ได้รับการอัปเดตในครั้งนี้ได้จาก https://www.

จากเมื่อวันที่ 21 เมษายน 2019 ทีม KnownSec 404 จาก ZoomEye ประกาศการค้นพบช่องโหว่ระดับวิกฤติใน Oracle WebLogic Server ได้รับ CVE-2019-2725 ช่องโหว่ดังกล่าวกระทบ Oracle WebLogic Server รุ่น 10.x และรุ่น 12.1.3.0 เป็นช่องโหว่ที่สามารถรันคำสั่งจากระยะไกลได้ (remote code-execution) โดยที่ผู้โจมตีไม่จำเป็นต้องทำการเข้าสู่ระบบดังกล่าว ด้วยความร้ายแรงของช่องโหว่นี้ทำให้ Oracle ได้ออกแพตช์เฉพาะกิจมาเพื่อแก้ไขช่องโหว่ดังกล่าวในวันที่ 26 เมษายน 2019

โดยหลังจากที่ออกแพตช์ไม่นาน (2 พฤษภาคม 2019) นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์หลายบริษัทพบการโจมตี Oracle WebLogic Server รวมถึงมีการเผยแพร่ POC สำหรับค้นหาและโจมตีช่องโหว่ CVE-2019-2725 จำนวนมาก รวมถึงมีข่าวการโจมตีผ่านช่องโหว่ CVE-2019-2725 ด้วยมัลแวร์หลายครั้ง

หลังจากที่ได้ทำการศึกษาและทดสอบช่องโหว่ สำหรับในบล็อกนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัด จะมาเล่าการทดสอบช่องโหว่ดังกล่าวให้ฟังกันโดยแบ่งเนื้อหาออกเป็นหัวข้อดังต่อไปนี้

รายละเอียดเกี่ยวกับช่องโหว่ CVE-2019-2725
สมมติฐานในการทดสอบช่องโหว่ CVE-2019-2725
วิธี setup เพื่อทดสอบช่องโหว่ CVE-2019-2725 
ปัญหาในการทดสอบช่องโหว่ CVE-2019-2725 
การทดสอบช่องโหว่ CVE-2019-2725  และ
สรุปการทดสอบช่องโหว่ CVE-2019-2725

คำเตือน: การทดสอบนี้เป็นไปเพื่อการศึกษาเท่านั้น 
รายละเอียดเกี่ยวกับช่องโหว่ CVE-2019-2725
ช่องโหว่ CVE-2019-2725 ถูกพูดถึงครั้งแรกใน CHINA NATIONAL VULNERABILITY DATABASE ใช้ชื่อว่า CNTA-2019-0014 เมื่อวันที่ 17 เมษายน 2019 ส่งผลกระทบกับ Oracle WebLogic Server  10.X และ Oracle WebLogic Server  12.1.3

KnownSec 404 Team ซึ่งเป็นหนึ่งในผู้แจ้งช่องโหว่ดังกล่าวไปยัง Oracle ได้เขียนสรุปรายละเอียดเกี่ยวกับช่องโหว่ว่าเกิดจากส่วนประกอบ wls9_async และ wls-wsat ซึ่งทำให้เกิดช่องโหว่ Deserialization Remote Command Execution ผู้โจมตีสามารถรันคำสั่งจากระยะไกลไปยังระบบที่มีช่องโหว่ได้ โดยที่ผู้โจมตีไม่จำเป็นต้องทำการเข้าสู่ระบบดังกล่าวและคำสั่งดังกล่าวจะรันด้วยสิทธิ์เดียวกันกับสิทธิ์ของ Oracle WebLogic Server

ด้วยความร้ายแรงของช่องโหว่นี้ทำให้ Oracle ได้ออกแพตช์เฉพาะกิจมาเพื่อแก้ไขช่องโหว่ดังกล่าวในวันที่ 26 เมษายน 2019 โดยอัปเดตเป็น Oracle WebLogic Server รุ่น 12.2.1

หลังจากที่มีการประกาศการแก้ไขช่องโหว่ได้ไม่นานได้มีผู้เผยแพร่ POC ออกมาเป็นจำนวนมาก รวมถึงมีการเขียน Exploits สำหรับ Metasploit ออกมาอีกด้วย รวมถึงมีข่าวการโจมตีผ่านช่องโหว่ CVE-2019-2725 ด้วยมัลแวร์หลายครั้ง เช่น โจมตีด้วย Sodinokibi ransomware

ไม่ใช่ทุก POC และ Exploits ที่เผยแพร่จะใช้ได้เสมอไป
อ้างอิงจากที่ทีม KnownSec 404 ได้เล่ารายละเอียดเพิ่มเติมเกี่ยวกับการค้นพบช่องโหว่ดังกล่าวใน WebLogic RCE (CVE-2019-2725) Debug Diary ว่า CVE-2019-2725 ที่เกิดจากความสำเร็จในการ bypass ตัว blacklist ที่ Oracle ใช้ป้องกัน CVE 2017-10271

ทำให้สามารถสรุปได้ว่า WebLogic 10.X จะมีทั้งช่องโหว่ CVE 2017-10271 และ CVE-2019-2725 แต่ WebLogic 12.1.3 จะมีช่องโหว่แค่ช่องโหว่ CVE-2019-2725 เท่านั้น

ซึ่งบาง POC และบาง Exploits ที่ถูกเผยแพร่ออกมาจะใช้ได้กับ CVE 2017-10271 ซึ่งใช้กับ WebLogic 12.1.3 ไม่ได้

ดังนั้นเมื่ออยากจะทำการทดสอบ CVE-2019-2725 จึงควรใช้ WebLogic 12.1.3 เพื่อให้มั่นใจว่า POC ที่นำมาทดสอบสามารถใช้ได้จริง

โดยการโจมตี CVE-2019-2725 จะเกิดจากการส่ง http request ที่ทำเป็นพิเศษไปยังส่วนที่มีช่องโหว่คือ wls9_async และ wls-wsat ซึ่ง https://sissden.