Oracle Weblogic vulnérable à une exécution de code à distance

Date de publication :

L'équipe de développement d’Oracle a publié le 18 juin un bulletin de sécurité corrigeant une vulnérabilité considérée comme critique. Un attaquant pourrait l’exploiter afin d’exécuter du code arbitraire à distance sur des serveurs de type WebLogic d’Oracle. Cette attaque serait simple à mettre en œuvre et ne nécessite pas d'authentification, bien qu’un accès au réseau via le protocole HTTP soit nécessaire. L'impact estimé sur la confidentialité et l'intégrité des données est élevé.

 

Oracle WebLogic est une famille de produits sur la plate-forme Java EE, incluant :

 

    Un serveur web HTTP
    Un serveur d'applications J2EE, WebLogic Application Server
    Un portail, WebLogic Portal
    Une plate-forme Enterprise Application Integration
    Un serveur transactionnel, WebLogic Tuxedo
    Une plate-forme de télécommunications, WebLogic Communication Platform

Les chercheurs de KnownSec 404 ont découvert et déclaré que l’exploitation de la vulnérabilité permet de contourner la correction d'une faille de désérialisation révélée plus tôt cette année et corrigée le 26 avril. Les chercheurs ont annoncé que cette faille était activement exploitée dans la nature. Cependant, John Heimann, vice-président de la direction du programme de sécurité, a contredit les affirmations des chercheurs en affirmant qu’il s’agissait d’une vulnérabilité distincte de la CVE-2019-2725.

 

Détails techniques :  

 

La vulnérabilité CVE-2019-2729 [CVSS : 9.8] repose sur la sérialisation d’objet en Java, sur le décodeur XML (XMLDecoder). La sérialisation est un mécanisme qui permet d’écrire des données présentes en mémoire (un objet par exemple) dans un format de données binaires. Ce format permet alors de rendre persistant l’élément via un stockage disque, une transmission réseau ou autre. La classe XMLDecoder est utilisée pour lire les documents XML créés à l'aide du XMLEncoder.

 

Des correctifs ont été publiés par Oracle et sont disponibles au téléchargement depuis le 18/06/2019. Du fait de leur criticité, les utilisateurs sont invités à appliquer les mises à jour le plus rapidement possible.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code à distance

Criticité

    Score CVSS : 9.80

Existence d’un code d’exploitation de la vulnérabilité

    Il n'existe pas de code d'exploitation publique.

Composants & versions vulnérables

    Oracle WebLogic Server versions 10.3.6.0.0, 12.1.3.0.0 et 12.2.1.3.0

 CVE

    CVE-2019-2729

Solutions ou recommandations

Mise en place de correctif de sécurité

  • Une mise à jour est proposée par Oracle depuis le 18 juin

Solution de contournement

L'équipe de Knownsec 404 a fourni les deux solutions temporaires suivantes :

  • Trouver et supprimer wls9_async_response.war, wls-wsat.war et redémarrer le service Weblogic.
  • Contrôler l'accès URL des chemins pour /_async/* and /wls-wsat/* en modifiant la politique d’accès.

Liens