Oracle a publié un correctif d’urgence pour corriger une vulnérabilité dans ses serveurs WebLogic après qu’un correctif précédent puisse facilement être contourné par un attaquant.
Le correctif original a été publié dans le cadre des mises à jour de sécurité de la société d’octobre 2020 en tant que correctif pour une vulnérabilité, suivie comme CVE-2020-14882, tandis que le nouveau correctif, suivi comme CVE-2020-14750, ajoute des correctifs supplémentaires.
En cas d’exploitation, CVE-2020-14882 peut permettre à un attaquant d’exécuter du code malveillant sur l’un des serveurs WebLogic d’Oracle avec des privilèges élevés avant que son authentification n’entre en vigueur. Malheureusement, cette vulnérabilité peut être facilement exploitée en envoyant une requête HTTP GET piégée au console de gestion d’un serveur WebLogic.
Une fois qu’Oracle a publié un correctif pour la vulnérabilité, le code d’exploitation de preuve de concept (PoC) a été rendu public et les cybercriminels ont déjà commencé à l’utiliser pour lancer des attaques contre des serveurs vulnérables. En fait, le SANS Internet Storm Center (ISC) a rapporté que des attaquants avaient déjà lancé des attaques contre ses pots de miel WebLogic.
Sommaire
Corriger un mauvais patch
Rédacteur chez Risky.Biz Brett Winterford a fourni des informations supplémentaires sur ce qui n’allait pas avec le correctif initial d’Oracle dans un tweet, en disant:
«Oracle a essayé de corriger le bogue de traversée de chemin dans la console WebLogic (CVE-14882) en introduisant un correctif qui mettait sur la liste noire la traversée de chemin. Ils avaient de bonnes raisons de le faire à la hâte (attaques déjà à l’état sauvage). Dans la précipitation d’Oracle pour le réparer, ils ont commis une erreur assez simple: les attaquants pouvaient éviter la nouvelle liste noire de traversée de chemin (et donc contourner le correctif) en … l’attendant … en changeant la casse d’un caractère dans leur requête.
Cela signifie que le correctif original pour CVE-2020-14882 pourrait être contourné par un attaquant en changeant simplement la casse d’un seul caractère dans l’exploit PoC. Une fois que les serveurs WebLogic ont commencé à être attaqués dans la nature, Oracle a publié un deuxième ensemble de correctifs pour corriger la vulnérabilité une fois pour toutes.
Les organisations exécutant des serveurs WebLogic doivent installer le deuxième correctif pour protéger leurs périphériques à la fois de la vulnérabilité d’origine et de son contournement.
Via ZDNet
