В Oracle WebLogic Server исправлена очередная уязвимость десериализации
Исправленная уязвимость CVE-2019-2725 снова вернулась в виде бага CVE-2019-2729.
На этой неделе компания Oracle исправила уязвимость десериализации в WebLogic Server, позволяющую удаленно выполнить код и активно используемую в атаках. Проблема получила идентификатор CVE-2019-2729 и повторяет исправленную в апреле уязвимость CVE-2019-2725, используемую ранее для распространения вымогательского ПО Sodinokibi и майнеров криптовалют. Согласно уведомлению Oracle, уязвимость можно проэксплуатировать без авторизации. Проблема затрагивает версии WebLogic Server 10.3.6.0.0, 12.1.3.0.0 и 12.2.1.3.0. Опасность уязвимости оценивается в 9,8 балла из 10.
Проблема была обнаружена специалистами команды 404 Team компании KnownSec. По их словам, уязвимость CVE-2019-2729 базируется на обходе исправления для CVE-2019-2725.
Уязвимость связана с компонентами «wls9_async» и «wls-wsat». Если установка патча по каким-либо причинам не возможна, пользователи могут либо удалить их, а затем перезапустить сервер WebLogic, либо применить политики, ограничивающие для URL доступ к директориям «/_async/*» и «/wls-wsat/*».
По данным системы ZoomEye, в 2019 году было развернуто порядка 42 тыс. установок Oracle WebLogic Server. Как показывает Shodan, в online-доступе находятся 2,3 тыс. серверов. Большинство серверов расположены в Китае и США.
