No início deste mês, a Oracle corrigiu uma vulnerabilidade de execução remota de código de deserialização Java altamente crítica em seu componente WebLogic Server do Fusion Middleware, que poderia permitir que os invasores obtivessem facilmente o controle completo de um servidor vulnerável.
No entanto, um pesquisador de segurança, que atua por meio do Twitter, identificou @ pyn3rd e alega ser parte da equipe de segurança do Alibaba, e descobriu que os atacantes podem ignorar o patch de segurança e explorar a vulnerabilidade do WebLogic mais uma vez.
O WebLogic Server atua como uma camada intermediária entre a interface de usuário front-end e o banco de dados de back-end de um aplicativo corporativo multicamadas. Ele fornece um conjunto completo de serviços para todos os componentes e manipula os detalhes do comportamento do aplicativo automaticamente.
Inicialmente descoberto em novembro do ano passado por Liao Xinxi, da equipe de segurança da NSFOCUS, a falha do Oracle WebLogic Server (CVE-2018-2628) pode ser explorada com acesso à rede pela porta TCP 7001.
Se explorada com sucesso, a falha poderia permitir que um invasor remoto assumisse completamente um vulnerável Oracle WebLogic Server. A vulnerabilidade afeta as versões 10.3.6.0, 12.1.3.0, 12.2.1.2 e 12.2.1.3.
Como uma exploração de prova de conceito (PoC) para a vulnerabilidade original do Oracle WebLogic Server já foi tornada pública no Github e alguém acaba de ignorar o patch também, seus serviços atualizados correm mais risco de serem hackeados.
Embora o @pyn3rd tenha lançado apenas um pequeno GIF (vídeo) como uma prova de conceito (PoC), em vez de liberar o código de bypass completo ou qualquer detalhe técnico, dificilmente levaria algumas horas ou dias para hackers habilidosos descobrirem uma maneira. para conseguir o mesmo.
Atualmente, não está claro quando a Oracle lançaria uma nova atualização de segurança para resolver esse problema que reabriu a falha CVE-2018-2628.
Para ser ao menos um passo seguro, ainda é aconselhável instalar a atualização de correção de abril lançada pela Oracle, se você ainda não o fez, porque os invasores já começaram a verificar a Internet em busca de servidores WebLogic vulneráveis.
