Risque(s)

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Oracle WebLogic Server version 10.3.6.0.0
  • Oracle WebLogic Server version 12.1.3.0.0

Résumé

[Mise à jour du 29 avril 2019] Oracle a publié un correctif de sécurité le 26 avril 2019. Le CERT-FR recommande son application dans les plus brefs délais (cf. section Documentation).

 

Le 21 avril 2019, l'équipe de chercheurs Knownsec 404 Team a annoncé avoir trouvé une vulnérabilité affectant toutes les versions d’Oracle WebLogic : https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93

Par une requête HTTP(S) spécialement forgée, un attaquant non authentifié pourrait exécuter du code arbitraire à distance. La vulnérabilité serait déclenchée lors de la dé-sérialisation de la requête dans les composants wls9_async_response.war et wls-wsat.war, qui sont installés par défaut. Le premier composant permet la gestion d'opérations asynchrones par le serveur tandis que le second est un module de gestion de la sécurité.

Aucun correctif n’est disponible pour l’instant et Oracle n’a pas communiqué sur le sujet. Le CERT-FR n'a pu vérifier l’existence de ces vulnérabilités et n'a pas identifié de code d'exploitation sur Internet. De nombreux scans sur les urls vulnérables ont néanmoins été identifiés.

Selon le chercheur, cette vulnérabilité n’a pas encore été exploitée pour exécuter des charges malveillantes.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

L'application des correctifs de sécurité est toujours préférable aux mesures de contournement.

Une évaluation des risques doit être conduite avant d'envisager les mesures de contournement suivantes :

  1. Bloquer l’accès aux chemins contenant les motifs /_async/* et /wls-wsat/* ;
  2. Supprimer les fichiers wls9_async_response.war et wls-wsat.war, puis redémarrer le service.

Documentation