Đầu tháng này, Oracle đã vá một lỗ hổng thực thi mã hóa Java từ xa rất quan trọng trong thành phần WebLogic Server của Fusion Middleware. Lỗ hổng cho phép kẻ tấn công từ xa dễ dàng kiểm soát hoàn toàn máy chủ dễ bị tổn thương.

Bản vá cho lỗ hổng Oracle WebLog “mở cửa” máy chủ cho hacker
Bản vá cho lỗ hổng Oracle WebLog “mở cửa” máy chủ cho hacker

Tuy nhiên, một nhà nghiên cứu bảo mật với tài khoản Twitter – @ pyn3rd tuyên bố là một phần của nhóm bảo mật Alibaba, hiện đã tìm ra cách mà những kẻ tấn công sử dụng để vượt qua bản vá cho lỗ hổng Oracle WebLog và khai thác server thêm một lần nữa.

WebLogic Server hoạt động như một lớp trung gian giữa giao diện người dùng cuối và cơ sở dữ liệu phụ trợ của một ứng dụng doanh nghiệp nhiều tầng. Nó cung cấp một bộ đầy đủ các dịch vụ cho tất cả các thành phần và xử lý các chi tiết của hành vi ứng dụng một cách tự động.

Ban đầu được phát hiện vào tháng 11 năm ngoái bởi Liao Xinxi của nhóm bảo mật NSFOCUS, lỗ hổng Oracle WebLogic Server (CVE-2018-2628) có thể được khai thác với truy cập mạng qua cổng TCP 7001.

Nếu khai thác thành công, lỗ hổng có thể cho phép tin tặc từ xa hoàn toàn chiếm quyền kiểm soát một Oracle WebLogic Server dễ bị tổn thương. Lỗ hổng ảnh hưởng đến các phiên bản 10.3.6.0, 12.1.3.0, 12.2.1.2 và 12.2.1.3.018-2628 mà có thể được khai thác với truy cập mạng qua cổng TCP 7001.

Kể từ khi khai thác PoC cho lỗ hổng Oracle WebLogic Server ban đầu đã được công bố trên Github và những kẻ tấn công có thể vượt qua bản vá thì các dịch vụ mới cập nhật của bạn lại có nguy cơ bị tấn công.

Mặc dù @ pyn3rd chỉ phát hành GIF (video) ngắn như là một PoC thay vì phát hành mã đầy đủ hoặc bất kỳ chi tiết kỹ thuật nào về lỗ hổng, nhưng hầu như tin tặc không mất nhiều thời gian để tìm ra cách khai thác lỗ hổng.

Hiện tại, không rõ khi nào Oracle sẽ phát hành bản cập nhật bảo mật mới để giải quyết vấn đề đã “mở lại” lỗ hổng CVE-2018-2628.

Để an toàn, bạn vẫn nên cài đặt bản cập nhật vá lỗi tháng 4 do Oracle phát hành, vì kẻ tấn công đã bắt đầu quét Internet để tìm các máy chủ WebLogic dễ bị tấn công.

Bình luận