La nueva falla de día cero descubierta en el servidor de lógica web de Oracle permite a los atacantes explotar esta vulnerabilidad para ejecutar comandos de forma remota sin autorización.
Un componente de Oracle web Logic wls9_async y wls-wsat desencadena esta vulnerabilidad de ejecución remota de comandos de deserialización y afecta a todas las versiones habilitadas para el componente Weblogic wls9_async_response.war y wls-wsat.war (incluida la versión actual).
WebLogic Server es un servidor de aplicaciones Java EE desarrollado por Oracle Corporation para entornos de nube y entornos tradicionales.
Un componente wls9_async_response está habilitado de forma predeterminada en algunas versiones de WebLogic y proporciona servicios de comunicación asíncrona para WebLogic Server. Cuando se realiza la deserialización de la información de entrada, un paquete WAR se distorsiona.
Al aprovechar esta falla, el atacante puede enviar una solicitud HTTP maliciosa cuidadosamente construida para obtener los permisos del servidor de destino y ejecutar el comando de forma remota sin autorización.
Los investigadores de KnownSec 404 analizan el servidor weblogic afectado que usa ZoomEye, un famoso motor de búsqueda en el ciberespacio y tiene 101,040 resultados sobre el servidor Oracle WebLogic, hay 36,173 resultados en 2019. La mayoría de ellos se distribuyen en los Estados Unidos y China.
Según el informe de seebug , en la actualidad, Oracle no ha lanzado oficialmente un parche, la solución temporal es la siguiente:
- 1, elimine el paquete war y reinicie webLogic
- 2. Controle el acceso a la URL de la ruta /_async/* a través de la política de acceso.