Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Oracle Weblogic Server versions 10.3.6.0.0 sans le dernier correctif de sécurité
- Oracle Weblogic Server versions 12.1.3.0.0 sans le dernier correctif de sécurité
- Oracle Weblogic Server versions 12.2.1.3.0 sans le dernier correctif de sécurité
- Oracle Weblogic Server versions 12.2.1.4.0 sans le dernier correctif de sécurité
- Oracle Weblogic Server versions 14.1.1.0.0 sans le dernier correctif de sécurité
Résumé
[version du 02 novembre 2020]
L'éditeur a émis une alerte de sécurité afin de signaler que le correctif mis à disposition le 20 octobre ne corrige pas complétement la vulnérabilité CVE-2020-14882. Des patches sont mis à disposition, se référer à l'alerte de l'éditeur pour obtenir les correctifs [1].
L'éditeur souligne que les versions qui ne sont plus supportées peuvent être affectées par ces vulnérabilités, il est donc primordial de déployer une version maintenue d'Oracle Weblogic.
Dans le cas où le dernier correctif ne peut pas être déployé rapidement, il est vivement recommandé d'envisager de désactiver temporairement la console Weblogic. Se référer à la documentation de l'éditeur.
[version initiale]
Le 20 octobre 2020, Oracle a publié plusieurs correctifs de sécurité concernant Oracle Weblogic. Parmi les vulnérabilités corrigées, la CVE-2020-14882 permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.
Déclarée comme très simple à exploiter, des codes d'attaque ont été publiés le lendemain et des rapports publiés en source ouverte font état de campagne d'attaques.
Si vous n'avez pas déployé les correctifs mis à disposition par l'éditeur le 20 octobre 2020, il est nécessaire de les appliquer sans délai et d'effectuer des contrôles du système d'information afin de détecter une éventuelle compromission, notamment en investiguant vos journaux systèmes et réseaux afin d’identifier les éventuelles connexions illégitimes et les possibles latéralisation par un ou plusieurs attaquants sur votre infrastructure.
- Les bons réflexes en cas d’intrusion sur un système d’information : </information/CERTA-2002-INF-002/>
- Le guide d'hygiène informatique : https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- avis CERT-FR CERTFR-2020-AVI-667 du 21 octobre 2020 https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-667/
- bulletin CERT-FR CERTFR-2020-ACT-009 du 27 octobre 2020 https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-009/
- Bulletin de sécurité Oracle du 20 octobre 2020 https://www.oracle.com/security-alerts/cpuoct2020verbose.html
- [1] Alerte de sécurité Oracle du 1er novembre 2020 https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
- Référence CVE CVE-2020-14750 https://www.cve.org/CVERecord?id=CVE-2020-14750
- Référence CVE CVE-2020-14882 https://www.cve.org/CVERecord?id=CVE-2020-14882
