Oracle telah menerbitkan pembaruan keamanan pada hari Minggu (01/11/2020) untuk mengatasi masalah kerentanan di server Oracle WebLogic yang saat ini sedang aktif dieksploitasi.
Perbaikan baru untuk kerentanan yang dilacak sebagai CVE-2020-14750 menambahkan perbaikan tambahan untuk kerentanan pertama yang dilacak sebagai CVE-2020-14882, yang awalnya diperbaiki dalam pembaruan keamanan triwulan Oktober 2020 standar Oracle.
CVE-2020-14882 adalah kerentanan kritis yang memungkinkan penyerang mengeksekusi kode berbahaya di server Oracle WebLogic dengan hak istimewa yang lebih tinggi sebelum otentikasi server dilakukan.
Untuk mengeksploitasi CVE-2020-14882, penyerang hanya perlu mengirim booby-trapped HTTP GET request ke konsol manajemen server WebLogic.
Karena eksploitasi terbilang mudah untuk dilakukan, kode eksploitasi proof-of-concept (PoC) dipublikasikan dalam beberapa hari setelah patch awal diterbitkan.
Seperti yang sering terjadi sebelumnya, POC ini dengan cepat diadopsi oleh kelompok aktor ancaman, dan minggu lalu, SANS ISC melaporkan adanya serangan terhadap honeypots WebLogic-nya.
Baca Juga: “Nvidia Rilis Perbaikan Untuk Kerentanan Kritis Dalam GeForce Experience“
Namun, sistem yang bahkan sudah menerapkan patch pun bisa dianggap masihlah tidak aman.
Menurut Adam Boileau, Konsultan Keamanan Utama di Insomnia Sec, patch asli untuk CVE-2020-14882 dapat di-bypass jika penyerang mengubah kasus satu karakter dalam eksploitasi POC standar.
So @Metlstorm has set me straight on this… Oracle tried to fix the path traversal bug in the WebLogic console (CVE-14882) by introducing a patch that blacklisted path traversal. They had good reason to do it in a hurry (attacks already in the wild). https://t.co/DMq5llMpI6
— Brett Winterford (@breditor) November 3, 2020
Serangan yang aktif baru-baru ini dan bypass dari patch asli adalah apa yang mendorong Oracle untuk mengeluarkan patch kedua pada hari Minggu kemarin, dalam update keamanan out-of-band.
Perusahaan yang menjalankan server WebLogic sekarang disarankan untuk menerapkan patch CVE-2020-14750 tambahan untuk menghindari serangan yang mengeksploitasi CVE-2020-14882 asli dan alternatifnya.
Menurut perusahaan keamanan Spyse, lebih dari 3.300 server WebLogic saat ini terpapar online dan dianggap rentan terhadap kerentanan CVE-2020-14882.
