CERTFR-2019-ALE-005
Vulnerability from certfr_alerte

[Mise à jour du 29 avril 2019] Oracle a publié un correctif de sécurité le 26 avril 2019. Le CERT-FR recommande son application dans les plus brefs délais (cf. section Documentation).

Le 21 avril 2019, l'équipe de chercheurs Knownsec 404 Team a annoncé avoir trouvé une vulnérabilité affectant toutes les versions d’Oracle WebLogic : https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93

Par une requête HTTP(S) spécialement forgée, un attaquant non authentifié pourrait exécuter du code arbitraire à distance. La vulnérabilité serait déclenchée lors de la dé-sérialisation de la requête dans les composants wls9_async_response.war et wls-wsat.war, qui sont installés par défaut. Le premier composant permet la gestion d'opérations asynchrones par le serveur tandis que le second est un module de gestion de la sécurité.

Aucun correctif n’est disponible pour l’instant et Oracle n’a pas communiqué sur le sujet. Le CERT-FR n'a pu vérifier l’existence de ces vulnérabilités et n'a pas identifié de code d'exploitation sur Internet. De nombreux scans sur les urls vulnérables ont néanmoins été identifiés.

Selon le chercheur, cette vulnérabilité n’a pas encore été exploitée pour exécuter des charges malveillantes.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

L'application des correctifs de sécurité est toujours préférable aux mesures de contournement.

Une évaluation des risques doit être conduite avant d'envisager les mesures de contournement suivantes :

  1. Bloquer l’accès aux chemins contenant les motifs /_async/* et */wls-wsat/* ;
    *
  2. Supprimer les fichiers wls9_async_response.war et wls-wsat.war, puis redémarrer le service.
None
Impacted products
Vendor Product Description
Oracle Weblogic Oracle WebLogic Server version 12.1.3.0.0
Oracle Weblogic Oracle WebLogic Server version 10.3.6.0.0
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Oracle WebLogic Server version 12.1.3.0.0",
      "product": {
        "name": "Weblogic",
        "vendor": {
          "name": "Oracle",
          "scada": false
        }
      }
    },
    {
      "description": "Oracle WebLogic Server version 10.3.6.0.0",
      "product": {
        "name": "Weblogic",
        "vendor": {
          "name": "Oracle",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2019-06-20",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n\nL\u0027application des correctifs de s\u00e9curit\u00e9 est toujours pr\u00e9f\u00e9rable aux\nmesures de contournement.\n\nUne \u00e9valuation des risques doit \u00eatre conduite avant d\u0027envisager les\nmesures de contournement suivantes :\n\n1.  Bloquer l\u2019acc\u00e8s aux chemins contenant les motifs */\\_async/\\** et\n    */wls-wsat/\\* ;  \n    *\n2.  Supprimer les fichiers *wls9_async_response.war* et *wls-wsat.war*,\n    puis red\u00e9marrer le service.\n",
  "cves": [
    {
      "name": "CVE-2019-2725",
      "url": "https://www.cve.org/CVERecord?id=CVE-2019-2725"
    }
  ],
  "initial_release_date": "2019-04-26T00:00:00",
  "last_revision_date": "2019-06-20T00:00:00",
  "links": [
    {
      "title": "Avis CERT-FR CERTFR-2019-AVI-189 du 29 avril 2019",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-189/"
    }
  ],
  "reference": "CERTFR-2019-ALE-005",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2019-04-26T00:00:00.000000"
    },
    {
      "description": "Ajout du bulletin de s\u00e9curit\u00e9 Oracle cve-2019-2725 du 26 avril 2019",
      "revision_date": "2019-04-29T00:00:00.000000"
    },
    {
      "description": "Modification des versions vuln\u00e9rables par Oracle le 30 avril 2019.",
      "revision_date": "2019-05-03T00:00:00.000000"
    },
    {
      "description": "Passage de la mesure de contournement dans la section Solution.",
      "revision_date": "2019-05-17T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte",
      "revision_date": "2019-06-20T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cstrong\u003e\\[Mise \u00e0 jour du 29 avril 2019\\]\u003c/strong\u003e Oracle a publi\u00e9 un correctif de\ns\u00e9curit\u00e9 le 26 avril 2019. Le CERT-FR recommande son application dans\nles plus brefs d\u00e9lais (cf. section Documentation).\n\n\u00a0\n\nLe 21 avril 2019, l\u0027\u00e9quipe de chercheurs Knownsec 404 Team a annonc\u00e9\navoir trouv\u00e9 une vuln\u00e9rabilit\u00e9 affectant toutes les versions d\u2019Oracle\nWebLogic :\n\u003chttps://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93\u003e\n\nPar une requ\u00eate HTTP(S) sp\u00e9cialement forg\u00e9e, un attaquant non\nauthentifi\u00e9 pourrait ex\u00e9cuter du code arbitraire \u00e0 distance. La\nvuln\u00e9rabilit\u00e9 serait d\u00e9clench\u00e9e lors de la d\u00e9-s\u00e9rialisation de la\nrequ\u00eate dans les composants *wls9_async_response.war* et *wls-wsat.war*,\nqui sont install\u00e9s par d\u00e9faut. Le premier composant permet la gestion\nd\u0027op\u00e9rations asynchrones par le serveur tandis que le second est un\nmodule de gestion de la s\u00e9curit\u00e9.\n\nAucun correctif n\u2019est disponible pour l\u2019instant et Oracle n\u2019a pas\ncommuniqu\u00e9 sur le sujet. Le CERT-FR n\u0027a pu v\u00e9rifier l\u2019existence de ces\nvuln\u00e9rabilit\u00e9s et n\u0027a pas identifi\u00e9 de code d\u0027exploitation sur Internet.\nDe nombreux scans sur les urls vuln\u00e9rables ont n\u00e9anmoins \u00e9t\u00e9 identifi\u00e9s.\n\nSelon le chercheur, cette vuln\u00e9rabilit\u00e9 n\u2019a pas encore \u00e9t\u00e9 exploit\u00e9e\npour ex\u00e9cuter des charges malveillantes.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Oracle WebLogic",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Oracle cve-2019-2725 du 26 avril 2019",
      "url": "https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.