Oracle waarschuwt voor bug in WebLogic Server dat actief wordt aangevallen

Oracle waarschuwt dat een lek in WebLogic Server dat inmiddels gepatcht is actief wordt misbruikt. Door het lek uit te buiten is het mogelijk om bijvoorbeeld cryptomalware of ransomware uit te rollen op een server.

Oracle waarschuwt in een patch-update dat WebLogic-servers actief worden aangevallen. Het is niet bekend om hoeveel aanvallen het gaat en op wat voor soort servers die worden uitgevoerd. Wereldwijd zijn er tienduizenden servers die de software draaien.

Oracle heeft halverwege april een patch doorgevoerd. Die was onder meer voor kwetsbaarheid CVE-2020-2883. Die kwetsbaarheid zat in versies 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 en 12.2.1.4.0 van de WebLogic Server. Oracle repareerde het lek, dat een kwetsbaarheidscore van 9,8 op een schaal tot 10 kreeg, nadat Trend Micro dat had ontdekt. Veel serverbeheerders hebben de patch dus nog niet doorgevoerd. Inmiddels staat wel een proof of concept van de bug online.

Aanvallers kunnen het lek uitbuiten door een geïnfecteerde payload via Oracles eigen T3-protocol te sturen. De aanval vindt plaats op het moment dat de server de payload uitpakt. Volgens Oracle is geen interactie van de gebruiker nodig om het lek uit te buiten. Daardoor kunnen hackers een systeem overnemen.

Oracle waarschuwt dat het lek kan worden misbruikt om malware te versturen, zoals ransomware of cryptojackers. Omdat er geen gebruikersinteractie nodig is zou het ook mogelijk zijn om dergelijke servers geautomatiseerd in botnets op te nemen.

WebLogic Server is in het verleden vaker aangevallen. Oracle waarschuwt bedrijven hun software zo snel mogelijk up-to-date te brengen.

Door Tijs Hofmans

Redacteur

Feedback • 01-05-2020 19:2916

01-05-2020 • 19:29

16 Linkedin

Lees meer

'Cyberafdeling Amerikaanse leger verstoorde de werking van Trickbot-botnet' Nieuws van 11 oktober 2020
Oracle kondigt Oracle Autonomous Linux aan Nieuws van 17 september 2019
Oracle toont 'supercomputer' met 1060 Raspberry Pi's Nieuws van 17 september 2019
Microsoft en Oracle kondigen samenwerking aan Nieuws van 25 juni 2013
Meer producten en artikelen
Beveiliging en antivirus Oracle Webserver

Reacties (16)

-Moderatie-faq
-116015+17+22+30Ongemodereerd8
Wijzig sortering
+1koppie
1 mei 2020 19:40
Op ons werk worden de weblogic-instanties zovaak gepatched dat mensen er bijna een fulltime job aan hebben. Ook slaan we regelmatig de integrale testen van onze eigen software over, behalve een simpele smoke-test. Dat was een aantal jaren geleden ondenkbaar.

Maar het begint onderhand wel een blamage te worden, omdat mijn inziens de lekken meestal in de proprietary delen van het oude Oracle zitten. De verbinding naar Oracle DB, en nu weer T3, dat ook weblogic only is, en niet in de orginele J(2)EE-spec zit.

Teveel en te snel te mooi gemaakt om er enorme bedragen mee te kunnen vragen, en dan ook nog de 35-jarige history meeslepen is niet ideaal.

@Bene Ok, erg interessant over T3, en de 'oude' serialisatiemogelijkheden. Dat is inderdaad een java-mogelijkheid die er al jaren inzit, en er echt niet zomaar uit kan.
Natuurlijk moet een Weblogic-omgeving ingekapseld draaien. Ik zeg ook niet dat dat niet gebeurt, maar we vertrouwen in principe niets, dus moet alles zsm gepatched worden, ook om te voorkomen dat een indringer op een ander niveau nog iets met ongepatchte omgevingen kan, onafhankelijk van de positie. Uitgangspunt is dat systemen zoveel mogelijke veilig zijn.

Een ander deel van mijn frustratie van de laatste opmerking zit vooral in de enorme licentiebedragen voor zowel Weblogic als zeker ook de database, maar ze kunnen het niet zodanig veilig maken dat het niet wekelijks gepatched moet worden.

[Reactie gewijzigd door koppie op 1 mei 2020 20:42]

+2Opperpanter2
@koppie1 mei 2020 21:06
Een ander deel van mijn frustratie van de laatste opmerking zit vooral in de enorme licentiebedragen voor zowel Weblogic als zeker ook de database, maar ze kunnen het niet zodanig veilig maken dat het niet wekelijks gepatched moet worden.
WebLogic wordt eens per kwartaal gepatched, net als bijna alle andere Oracle producten.
+1Bene
@koppie1 mei 2020 20:29
Dit is een java deserialisatie probleem, niet een T3 bug. We krijgen al drie jaar lang dezelfde exploit met iedere patch een andere chain toegegooid. Dat blijft doorgaan totdat de huidige serialisatie klassen uit java (of WebLogic) zijn geschreven wat een enorm probleem gaat geven met compatibiliteit.

Wat je kunt doen is zorgen dat er geen ongeautoriseerde toegang meer mogelijk is tot je naakte WebLogic servers. Met een proxy server ervoor ben je al klaar. Dan hoef je ook niet meer zo hard te patchen. Dat advies staat ook in elk Oracle whitepaper over WebLogic inrichting.

[Reactie gewijzigd door Bene op 1 mei 2020 23:22]

+1elmuerte
@Bene2 mei 2020 09:02
Het is geen Java deserialisatie probleem. Standaard serialisatie was niet gemaakt voor public communicatie, alleen voor trusted peers. En dan voornamelijk eigenlijk local-only.
Maar zoals zo veel technologie worden zaken vaak gebruikt op plekken waar het oorspronkelijk niet voor gemaakt was, en dan komen er opeens nieuwe zaken bij kijken.
CVE-2015-6420 is al bijna 5 jaar geleden. Als je nu nog steeds Java deserialisatie security issues hebt in je software is het echt geen Java deserialisatie probleem.
+2kodak

@elmuerte2 mei 2020 09:58
Dat de gekozen oplossing niet geschikt was voor de implementatie wil natuurlijk niet zeggen dat de problemen van die oplossing niet mee tellen. Het is hier onmogelijk dat het een bestaat zonder het ander. Dat het na verloop van tijd nog zo is zorgt er niet spontaan voor dat een van de onderdelen van het probleem niet meer mee zou tellen. Er komen eerder problemen bij. Bijvoorbeeld omdat na verloop van tijd steeds duidelijker lijkt te worden dat een bedrijf er geen grip op krijgt om deze risicovolle combinaties te onderkennen, dat tijdig te doen en het ook nog eens goed te verhelpen.
0Rob Coops

@Bene4 mei 2020 09:59
Maar wie is er nu dom genoeg om een Weblogic server rechtstreeks aan het net te hangen?
Ik werkte ooit met Weblogic 5 en ben er in meer of mindere mate mee bezig geweest tot Weblogic 11 en heb echt nooit de illusie gehad dat je dit rechtstreeks aan het internet zou moeten willen knopen.
Altijd een proxy er voor hangen en simpel weg de server er achter alleen met de proxy laten communiceren.
Toen was het een Apache server nu waarschijnlijk een nginx maar het concept blijft het zelfde een proxy op die basis is veel meer een standaard oplossing er zijn letterlijk miljoenen servers die die software draaien. En dus zijn er veel meer aanvallen geweest en bugs gepatched dan bij een closed source relatief weinig gebruikte oplossing zo als Weblogic. Omdat het overgrote deel van de wereld zijn webservers draait op een Apahe/nginx server is de beveiliging gewoon beter op te zetten om die simpele reden.

Maar daarnaast waarom draaien mensen nog Weblogic of een andere j2ee server tegenwoordig? Zo'n 20 jaar geleden ja hot en happening en zo, maar vandaag de dag? Ik kan me niet helemaal voorstellen dat er echt nog voordelen zijn te vinden om zo'n ultra bloated stuk middleware vertraging te gebruiken om je applicatie nog even trager te maken dan het al is.
0Opperpanter2
@koppie2 mei 2020 09:49
Heeft iemand kunnen kijken of WebCenter Sites ook geraakt is, of heeft die T3 niet aan boord?
Ik loop dood op een maintenance pagina wanneer ik de details wil bekijken.

https://i.postimg.cc/G2SG9SKg/image.png
0kimborntobewild
@koppie3 mei 2020 18:16
Maar het begint onderhand wel een blamage te worden, omdat mijn inziens de lekken meestal in de proprietary delen van het oude Oracle zitten.
Laat Oracle het Open Source maken; dan kunnen honderden programmeerliefhebbers zien wat er allemaal lek is in het systeem. Uiteraard voor een vergoeding, als ze iets vinden.

[Reactie gewijzigd door kimborntobewild op 3 mei 2020 18:17]

0koppie
@kimborntobewild3 mei 2020 18:21
Ja, goed idee! Maar dat gaat helemaal tegen het idee van Oracle in. Dit itt bijvoorbeeld IBM/Red Hat.
0kimborntobewild
@koppie3 mei 2020 18:20
...maar ze kunnen het niet zodanig veilig maken dat het niet wekelijks gepatched moet worden.
Je zou je af kunnen vragen of je dan niet op zoek moet naar betrouwbaardere software... Je zou je zelfs kunnen afvragen of je wel voldoet aan AVG/GPDR, als je software gebruikt waarvan je weet dat er vaak lekken in worden gevonden. (Maar ja, dan zou je Windows ook niet kunnen gebruiken...)
+1Raymond Deen
1 mei 2020 20:48
Een van de eerste dingen die ik op mijn opleiding leerde bij web connected applicaties programmeren is dat je de client z'n request, en andersom de server z'n antwoord, moet valideren en standaard niet moet vertrouwen.
Dat vertrouwen lijkt hier wel aanwezig te zijn.

Maar dan nog iets over het artikel: ik vind het nogal rommelig geschreven en soms niet kloppend: zie bijvoorbeeld de zin "Veel serverbeheerders hebben de bug dus nog niet doorgevoerd."
+1dooiedodo
@Raymond Deen1 mei 2020 21:34
lol.. mooie ja... admins die bugs gaan doorvoeren, maw implementeren. Bugfix zou logische zin maken.

paar jaar terug hadden we ook weblogic die exploited werd en bitcoin miners werden geinstalleerd. Alleen door proxies konden ze er geen kont mee. leuk als annekdote
0kimborntobewild
@dooiedodo3 mei 2020 18:27
paar jaar terug hadden we ook weblogic die exploited werd en bitcoin miners werden geinstalleerd. Alleen door proxies konden ze er geen kont mee. leuk als annekdote
Hmm... maar de criminelen hadden dus wel toegang tot jullie systemen? Ze konden immers programma's (miners) installeren. Is er een rebuild van de server gedaan? En zijn de kosten daarvan gedeclareerd bij Oracle?
0dooiedodo
@kimborntobewild3 mei 2020 20:06
We zijn hard van weblogic weggerend. Willen ook graag van oracle DB wegmigreren, maar dat is wat minder makkelijk dan java naar springboot apps migreren momenteel
0TheVivaldi
@voodooless2 mei 2020 12:16
Spel- en tikfoutjes - en dus *geen* andere foutjes - deel 45

Op dit item kan niet meer gereageerd worden.

Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee