Na terça-feira, a Oracle lançou patches de emergência para outra vulnerabilidade crítica de execução remota de código que afeta o WebLogic Server.

A vulnerabilidade, rastreada como CVE-2019-2729, afeta as versões 10.3.6.0.0, 12.1.3.0.0 e 12.2.1.3.0 do WebLogic. A vulnerabilidade é uma vulnerabilidade de desserialização explorável remotamente via XMLDecoder no Oracle WebLogic Server Web Services, que recebeu uma pontuação CVSS de 9,8.

Um invasor remoto pode explorar a falha CVE-2019-2729 sem autenticação. A questão foi relatada de forma independente para a Oracle por muitos pesquisadores de segurança.

“Este alerta de segurança aborda o CVE-2019-2729, um desserializaçãovulnerabilidade via XMLDecoder no Oracle WebLogic Server Web Services. Essa vulnerabilidade de execução remota de código é explorável remotamente sem autenticação, ou seja, pode ser explorada em uma rede sem a necessidade de um nome de usuário e senha ”, diz o comunicado de segurança publicado pela Oracle.

“Devido à gravidade desta vulnerabilidade, a Oracle recomenda enfaticamente que os clientes apliquem as atualizações fornecidas por este Alerta de Segurança o mais rápido possível”.

A Oracle recomenda que os usuários apliquem os patches necessários e também a atualização de patch crítica (CPU) mais recente.

John Heimann, vice-presidente de gerenciamento de programas de segurança da Oracle, destacou que o CVE-2019-2729 é diferente do recentemente descoberto CVE-2019-2725, que foi explorado em campanhas de criptografia e em campanhas de hackers que espalham o ransomware Sodinokibi .

"Por favor, note que enquanto a questão abordada por este alerta é um desserializaçãovulnerabilidade, como aquela abordada no Security Alert CVE-2019-2725, é uma vulnerabilidade distinta ”, escreveu Heimann.

“Devido à gravidade desta vulnerabilidade, a Oracle recomenda que este alerta de segurança seja aplicado o mais rápido possível.”

De acordo com os especialistas do Knownsec 404 Team, que também relataram a falha, o CVE-2019-2729 é, na verdade, o resultado de um patch incompleto para o CVE-2019-2725. A equipe do Knownsec 404 confirmou que os agentes de ameaças já estão explorando o CVE-2019-2729 em estado selvagem.

“Então hoje, um novo oráculo webLogic desserialização A vulnerabilidade de RCE 0 dia foi encontrada e está sendo usada ativamente na natureza.Analisamos e reproduzimos a vulnerabilidade 0day, que é baseada e ultrapassa o patch para o CVE-2019–2725 ”, diz um post publicado pelo Knownsec 404 Team.

A Equipe 404 da Knownsec forneceu as seguintes soluções temporárias:

- Cenário 1: Localize e exclua wls9_async_response.war, wls-wsat.war e reinicie o serviço Weblogic.

- Cenário-2: Controla o acesso à URL para os caminhos / _async / * e / wls-wsat / * pelo controle de política de acesso.