Google

Vulnerabilidad Zero-Day en Oracle Weblogic Server.

Written on:April 28, 2019
Comments
Add One

En los pasados días, se descubrió una vulnerabilidad de tipo zero-day en servidores Oracle Weblogic.

Oracle Weblogic es un servicio basado en Java para desarrollar y poner en producción servicios en la nube para empresas. Es muy popular en diversos ambientes, puede utilizarse “en la nube” como en un ambiente tradicional.

Se reporta que estos servidores contengas una vulnerabilidad critica de tipo Remote Code Execution(RCE) que afecta a todas la versiones de este software y puede ser activado si se cuenta con estos componentes activados:

  • wls9_async_response.war
  • wls-wsat.war

Esta vulnerabilidad fue encontrada por un grupo de investigadores con el nombre “KnownSec 404”, la cual permite al atacante ejecutar código remoto arbitrario sobre cualquier servidor afectado, solamente enviando una petición de HTTP especialmente creada para explotar esta vulnerabilidad, sin ninguna autorización o permisos especiales en el servidor.

“Desde que se encontró que el paquete WAR tiene un defecto en la deserialización a la información que acepta el servidor, el atacante puede obtener control sobre el servidor enviando una petición por http y ejecutar código sin ninguna autorización previa.”

Las versiones afectadas por esta vulnerabilidad:

  • WebLogic 10.X
  • WebLogic 12.1.3

Hasta el día de hoy Oracle no a liberado un parche de seguridad para poder solucionar esto, por lo tanto se brindara información para evitar esta  vulnerabilidad, claro está que como no se trata de una solución definitiva oficial, se recomienda estudiar primero la posibilidad de realizar este  workaround :

  • Encontrar y borrar wls9_async_response.war, wls-wsat.war y reiniciar el servicio WebLogic
  • Prevenir el acceso a /_async/* and /wls-wsat/* URL

Leave a Comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Previous post:

Next post:

%d bloggers like this: