Oracle WebLogic Server’daki istismarı kolay bir güvenlik açığı, gerçekten ama gerçekten düzeltmeniz gereken CISA listesine eklendi.
1 Mayıs 2023’te Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismar kanıtlarına dayanarak Bilinen Yararlanılan Güvenlik Açıkları Kataloğuna üç yeni güvenlik açığı ekledi.
Bu, Federal Sivil Yürütme Şubesi (FCEB) kurumlarının güvenlik açıklarını 22 Mayıs 2023’e kadar gidermekle yükümlü olduğu anlamına gelir. Geri kalanımız için bu, “dikkat edin” anlamına gelir, savunmasız bir varlığa sahip diğer herkes de bunu olabildiğince hızlı yapmalıdır.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanmış bilgisayar güvenlik açıklarını listeler. CISA tarafından eklenen CVE’ler şunlardı:
- CVE-2023-1389, 1.1.4 Yapı 20230219’dan önceki TP-Link Archer AX21 (AX1800) üretici yazılımı sürümlerindeki bir güvenlik açığıdır. Etkilenen sürümler, ülke biçiminde bir komut enjeksiyon güvenlik açığı içerir. /cgi-bin/luci;stok=/yerel ayar web yönetimi arabiriminde uç nokta. Spesifik olarak, yazma işleminin ülke parametresi, bir çağrıda kullanılmadan önce temizlenmedi. aç()kimliği doğrulanmamış bir saldırganın basit bir POST isteğiyle kök olarak çalıştırılacak komutları enjekte etmesine izin verir.
- CVE-2021-45046, listelenmeye yetecek kadar yama uygulanmamış sunucuda hala çalışan, güvenilmeyen verilerin serisini kaldıran çok eski bir Apache Log4j2 güvenlik açığıdır.
- CVE-2023-21839, Oracle WebLogic Server’ı etkiler. Ağ erişimine sahip kimliği doğrulanmamış bir saldırganın “kritik verilere veya tüm Oracle WebLogic Server erişilebilir verilerine tam erişime” yetkisiz erişim elde etmesine yol açabilir.
Bu son güvenlik açığını birkaç nedenden dolayı yakınlaştırmak istiyoruz.
- Her şeyden önce, Oracle WebLogic çok yaygın bir java uygulama sunucusu olduğundan ve siber suçlular için ağlara her zaman popüler bir giriş noktası olduğundan.
- Güvenlik açığı kolayca kullanılabilir. Kavram kanıtları (PoC’ler) bulunduğundan ve açıklardan yararlanma, gizli test araçlarına dahil edildiğinden, taklitçiler için bile.
- Güvenlik açığının kapsamı. Uzak, kimliği doğrulanmamış bir saldırganın gizli bilgileri çalmak, fidye yazılımı yüklemek ve dahili ağın geri kalanına yönelmek için sunucuyu tamamen tehlikeye atması gibi gerçek bir risk vardır.
Oracle WebLogic Suite, Kubernetes üzerinde tam olarak desteklenen kurumsal Java EE uygulamaları oluşturmaya ve dağıtmaya yönelik bir uygulama sunucusudur. Bu, şirket içinde veya bulutta kullanımı kolaylaştırır. Oracle WebLogic kullanan şirketler en çok Amerika Birleşik Devletleri’nde ve Bilgi Teknolojisi ve Hizmetleri endüstrisinde bulunur.
Oracle’ın Ocak ayı güvenlik danışmanlığında, beş araştırmacının CVE-2023-21839’u bulup raporlamakla görevlendirildiğini fark edeceksiniz. Bunun nedeni, Oracle’ın yamaları üç aylık bir döngüde yayınlaması, diğerlerinin ise güncellemeleri aylık olarak yayınlaması olabilir. Bu, araştırmacıların yeni güvenlik açıkları bulmak için daha fazla zamana sahip olduğu, ancak onlar hakkında daha uzun süre sessiz kalmaları gerektiği anlamına gelir. Nyine de, beş ayrı örnek, bu güvenlik açığını bulmanın zor olmadığını gösterebilir.
Daha da kötüsü, güvenlik açığından yararlanmanın kolay olmasıdır. Yayınlanan istismarlar, Yönetim Sunucusu için Dinleme Bağlantı Noktasını hedefler. Bu bağlantı noktasıyla kullanılan protokol, WebLogic sunucuları ve diğer Java programları arasında bilgi aktaran T3—Oracle’ın tescilli Uzaktan Yöntem Çağırma (RMI) protokolüdür. Uzaktan erişime sahip yetkisiz bir saldırgan, savunmasız bir WebLogic sunucusuna hazırlanmış bir istek gönderebilir ve bir LDAP sunucusu aracılığıyla bir dosya yükleyebilir. Temel olarak saldırganın hedef üzerinde ters mermiler yürütmesine izin vermek. Bir ters kabuk veya “geri bağlan” kabuğu, saldırganla iletişimi açar ve sistemin kontrolünü ele geçirmelerini sağlayan komutları yürütmesine izin verir.
Şimdi güncelle
Oracle WebLogic Server’ın etkilenen sürümleri 12.2.1.3.0, 12.2.1.4.0 ve 14.1.1.0.0’dır. Bu güvenlik açığı için bir düzeltme eki, Oracle hesabı olanlar için Oracle destek sitesinde mevcuttur.
Oracle, harici güvenlik duvarının dışında HTTPS olmayan trafiği (T3/T3s/LDAP/IIOP/IIOP’ler) açığa çıkarmamanızı her zaman şiddetle önerir. Bu erişimi, ağ kanalları ve güvenlik duvarlarının bir kombinasyonunu kullanarak kontrol edebilirsiniz.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.