หน้าแรก Security Malware นักวิจัยเปิดเผยช่องโหว่ Zero-Day ในแอพ Oracle WebLogic

นักวิจัยเปิดเผยช่องโหว่ Zero-Day ในแอพ Oracle WebLogic

แบ่งปัน

ทีมนักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ใช้ชื่อว่า KnownSec 404 ได้ออกมาเปิดเผยช่องโหว่แบบ Zero-Day ที่มีความรุนแรงระดับร้ายแรงมาก และยังไม่มีแพทช์ออกมา ในแอพพลิเคชั่น Oracle WebLogic ที่เปิดให้ผู้โจมตีสามารถเข้าเจาะระบบได้ และมีโอกาสที่จะมีการโจมตีลักษณะนี้ในวงกว้างมาแล้ว

Oracle WebLogic เป็นเซิร์ฟเวอร์แอพพลิเคชั่นระดับองค์กรแบบ Multi-Tier ที่ทำงานบนจาวา รองรับการปรับขนาดของการใช้งานได้ เป็นแอพสำหรับธุรกิจให้สามารถติดตั้งผลิตภัณฑ์และบริการใหม่บนคลาวด์ได้อย่างรวดเร็ว ซึ่งเป็นที่นิยมมากทั้งบนสภาพแวดล้อมการทำงานทั้งบนคลาวด์และแบบปกติ

สำหรับช่องโหว่บน Oracle WebLogic ที่รายงานขึ้นมานี้ คือบั๊กที่เปิดให้รันโค้ดจากระยะไกลได้แบบ Deserialization ที่ร้ายแรงมาก กระทบกับซอฟต์แวร์นี้ทุกเวอร์ชั่น ซึ่งสามารถโดนการโจมตีได้เมื่อเปิดใช้คอมโพเนนต์ที่ชื่อ “wls9_async_response.war” และ “wls-wsat.war”

ช่องโหว่นี้เปิดให้ผู้โจมตีรันคำสั่งแบบ Arbitrary บนเซิร์ฟเวอร์ที่ติดเชื้อได้เพียงแค่ส่งคำสั่งร้องขอผ่าน HTTP ที่ออกแบบมาเป็นพิเศษ โดยไม่ต้องผ่านระบบยืนยันตนใดๆโดยทีมนักวิจัยได้แบ่งปันข้อมูลช่องโหว่ Zero-Day นี้ภายใต้รหัส CNVD-C-2019-48814 ให้กับทีมของ Oracle ก่อนหน้า แต่ก็ยังไม่ออกแพ็ตช์มาจนถึงปัจจุบัน

ที่มา : Thehackernews