Vulnerabilità di Oracle WebLogic Server (CVE-2021-2109) Risultante in un Controllo Completo del Server
Indice:
Un problema di esecuzione di codice in remoto ad alta gravità nel Console di Oracle Fusion Middleware consente la compromissione completa di Oracle WebLogic Server.
New Vulnerabilità di Oracle WebLogic Server
Il difetto permette a un attore autenticato con alti privilegi di abusare dell’Handler “JndiBinding” e lanciare un’iniezione JNDI (Java Naming and Direction Interface). Questo, a sua volta, consente di recuperare e deserializzare una classe malevola dal server sotto il controllo dell’attaccante, il che si traduce nell’esecuzione di codice arbitrario su Oracle WebLogic Server.
Anche se la procedura di sfruttamento richiede autenticazione, l’attaccante potrebbe superare questo ostacolo sfruttando un metodo di traversal directory collegato all’esecuzione di codice remoto precedentemente scoperta in WebLogic Server (CVE-2020-14882). Di conseguenza, CVE-2021-2109 potrebbe essere facilmente sfruttato da un hacker non autenticato tramite una singola richiesta HTTP.
La vulnerabilità è stata assegnata un punteggio di 7.2 secondo CVSS Version 3.1, classificandola come un bug di alta gravità. Notoriamente, le falle di sicurezza in Oracle WebLogic Server catturano rapidamente l’attenzione degli attori delle minacce, aumentando le possibilità che CVE-2021-2109 venga sfruttato in natura.
La vulnerabilità è stata segnalata a Oracle il 19 novembre 2020 dal gruppo di ricerca Alibaba Cloud Security e corretta dal fornitore il 20 gennaio 2021. I proof of concept exploits (sia per attaccanti autenticati che non autenticati) sono stati rilasciati a gennaio 2021.
Il bug interessa le seguenti versioni supportate di Oracle WebLogic Server: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Gli utenti sono invitati a eseguire correzione il prima possibile per prevenire possibili tentativi di sfruttamento.
Rilevamento di CVE-2021-2109
Per rilevare l’attività malevola associata al nuovo bug di Oracle WebLogic Server (CVE-2021-2109), è possibile applicare una regola Sigma sviluppata dal developer SOC Prime Threat Bounty Emir Erdogan:
https://tdm.socprime.com/tdm/info/yY5BqZlgeBNl/JdjQcncBR-lx4sDxsiba/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness, FireEye Helix, Humio, Graylog, LogPoint
EDR: Carbon Black
MITRE ATT&CK:
Tattiche: Accesso Iniziale
Tecniche: Sfruttare applicazione esposta al pubblico (T1190)
Iscriviti al Threat Detection Marketplace gratuitamente per accedere alla libreria di contenuti curati per SOC di oltre 90.000 elementi. Oltre 300 contributori da 70 paesi arricchiscono la libreria ogni giorno, in modo che gli operatori di sicurezza possano rilevare le minacce informatiche più allarmanti nelle prime fasi del ciclo di vita dell’attacco. Hai il desiderio di partecipare ad attività di threat hunting e sviluppare le tue regole di rilevamento? Unisciti al nostro programma Threat Bounty e ricevi una ricompensa per il tuo contributo.
