Vulnérabilité du serveur Oracle WebLogic (CVE-2021-2109) mène à une prise de contrôle totale du serveur
Table des matières :
Un problème d’exécution de code à distance de haute gravité dans la Console Oracle Fusion Middleware permet une compromission complète du serveur Oracle WebLogic.
New Vulnérabilité du serveur Oracle WebLogic
La faille permet à un acteur authentifié avec des privilèges élevés de détourner le gestionnaire « JndiBinding » et de lancer une injection JNDI (Java Naming and Direction Interface). Cela permet à son tour de récupérer et de désérialiser une classe malveillante depuis le serveur sous le contrôle de l’attaquant, ce qui entraîne une exécution de code arbitraire sur le serveur Oracle WebLogic.
Bien que la routine d’exploitation nécessite une authentification, l’attaquant pourrait surmonter cet obstacle en exploitant une méthode de traversée de répertoire liée à l’exécution de code à distance précédemment découverte dans le serveur WebLogic (CVE-2020-14882). En conséquence, CVE-2021-2109 pourrait être facilement exploité par un pirate non authentifié via une simple requête HTTP.
La vulnérabilité a obtenu un score de 7.2 selon la version 3.1 de CVSS, ce qui en fait un bug de haute gravité. Notamment, les failles de sécurité dans le serveur Oracle WebLogic attirent rapidement l’attention des acteurs de menaces, augmentant les chances de voir CVE-2021-2109 exploité dans la nature.
La vulnérabilité a été signalée à Oracle le 19 novembre 2020 par le groupe de recherche en sécurité Alibaba Cloud et corrigée par le fournisseur le 20 janvier 2021. Les preuves de concept (tant pour les attaquants authentifiés que non authentifiés) ont été publiées en janvier 2021.
Le bug affecte les versions supportées suivantes du serveur Oracle WebLogic: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0. Les utilisateurs sont invités à appliquer des correctifs dès que possible pour prévenir d’éventuelles tentatives d’exploitation.
Détection de CVE-2021-2109
Pour détecter l’activité malveillante associée au nouveau bug du serveur Oracle WebLogic (CVE-2021-2109), vous pouvez appliquer une règle Sigma développée par le développeur en prime de menace SOC Emir Erdogan:
https://tdm.socprime.com/tdm/info/yY5BqZlgeBNl/JdjQcncBR-lx4sDxsiba/
La règle a des traductions pour les plateformes suivantes:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness, FireEye Helix, Humio, Graylog, LogPoint
EDR: Carbon Black
MITRE ATT&CK:
Tactiques : Accès initial
Techniques : Exploiter une application exposée au public (T1190)
Inscrivez-vous sur le Threat Detection Marketplace gratuitement pour accéder à la bibliothèque SOC de contenu organisée de plus de 90 000 éléments. Plus de 300 contributeurs de 70 pays enrichissent la bibliothèque chaque jour afin que les professionnels de la sécurité puissent détecter les cybermenaces les plus alarmantes dès les premières étapes du cycle de vie de l’attaque. Vous souhaitez participer à des activités de chasse aux menaces et développer vos propres règles de détection? Rejoignez notre programme Threat Bounty et soyez récompensé pour votre contribution.
