Oracle WebLogic Server-Schwachstelle (CVE-2021-2109) führt zur vollständigen Übernahme des Servers

Ein Problem mit der Remote-Code-Ausführung von hoher Schwere in der Oracle Fusion Middleware Console ermöglicht eine vollständige Kompromittierung des Oracle WebLogic Servers.

New Oracle WebLogic Server Schwachstelle

Der Fehler ermöglicht es einem authentifizierten Akteur mit hohen Privilegien, den „JndiBinding“-Handler zu missbrauchen und eine JNDI- (Java Naming and Direction Interface) Injektion auszuführen. Dies wiederum ermöglicht das Abrufen und Deserialisieren einer bösartigen Klasse vom Server unter der Kontrolle des Angreifers, was zu einer beliebigen Codeausführung auf dem Oracle WebLogic Server führt.

Obwohl die Ausnutzungsroutine eine Authentifizierung erfordert, könnte der Angreifer dieses Hindernis überwinden, indem er eine Pfadüberschreitungsmethode nutzt, die mit der zuvor aufgedeckten Remote-Code-Ausführung im WebLogic Server (CVE-2020-14882) zusammenhängt. Infolgedessen könnte CVE-2021-2109 von einem nicht authentifizierten Hacker leicht über eine einzige HTTP-Anfrage ausgenutzt werden.

Die Schwachstelle erhielt gemäß CVSS Version 3.1 eine Bewertung von 7,2 und wurde damit als schwerwiegender Fehler eingestuft. Besonders Sicherheitslücken im Oracle WebLogic Server erregen schnell die Aufmerksamkeit von Bedrohungsakteuren, was die Wahrscheinlichkeit erhöht, dass CVE-2021-2109 in freier Wildbahn ausgenutzt wird.

Die Schwachstelle wurde am 19. November 2020 von der Alibaba Cloud Security Research Group bei Oracle gemeldet und vom Anbieter am 20. Januar 2021 gepatcht. Der Proof-of-Concept-Exploit (sowohl für authentifizierte als auch für nicht authentifizierte Angreifer) wurde veröffentlicht im Januar 2021. in January 2021.

Der Fehler betrifft die folgenden unterstützten Versionen von Oracle WebLogic Server: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0. Benutzer werden dringend aufgefordert, so schnell wie möglich zu patchen, um mögliche Ausnutzungsversuche zu verhindern.

CVE-2021-2109-Erkennung

Um die bösartige Aktivität im Zusammenhang mit dem neuen Oracle WebLogic Server-Fehler (CVE-2021-2109) zu erkennen, können Sie eine von SOC Prime Threat Bounty Entwickler Emir Erdogan: 

entwickelte Sigma-Regel anwenden. https://tdm.socprime.com/tdm/info/yY5BqZlgeBNl/JdjQcncBR-lx4sDxsiba/

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness, FireEye Helix, Humio, Graylog, LogPoint

EDR: Carbon Black

MITRE ATT&CK:

Taktiken: Initial Access

Techniken: Öffentlich zugängliche Anwendung ausnutzen (T1190)

Melden Sie sich kostenlos bei der Threat Detection Marketplace an, um die Bibliothek mit über 90.000 kuratierten SOC-Inhalten zu erreichen. Über 300 Mitwirkende aus 70 Ländern bereichern die Bibliothek täglich, damit Sicherheitsfachleute die alarmierendsten Cyberbedrohungen in den frühesten Stadien des Angriffszyklus erkennen können. Haben Sie den Wunsch, an Bedrohungssuchen teilzunehmen und Ihre eigenen Erkennungsregeln zu entwickeln? Treten Sie unserem Threat Bounty Programm bei und erhalten Sie eine Belohnung für Ihren Beitrag. program and get rewarded for your input.