เตือนช่องโหว่ Zero-day ระดับ Critical บน Oracle WebLogic จนถึงตอนนี้ยังไม่มีแพตช์

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก KnownSec 404 ออกมาแจ้งเตือนถึงช่องโหว่ Zero-day ความรุนแรงระดับ Critical บน Oracle WebLogic ซึ่งช่วยให้แฮ็กเกอร์ลอบรันโค้ดแปลกปลอมจากระยะไกลโดยไม่ต้องทำ Authorization ใดๆ ได้ และพบรายงานการโจมตีช่องโหว่ดังกล่าวเป็นที่เรียบร้อยแล้ว จนถึงตอนนี้ยังไม่มีแพตช์อุดช่องโหว่

Oracle WebLogic เป็น Multi-tier Enterprise Application Server ที่พัฒนาโดยใช้ภาษา Java ซึ่งช่วยให้ธุรกิจสามารถวางผลิตภัณฑ์หรือบริการบนระบบ Cloud ได้อย่างสะดวกรวดเร็ว อย่างไรก็ตาม KnownSec 404 กลับพบว่า Oracle WebLogic มีช่องโหว่ Deserialized Remote Code Execution ซึ่งส่งผลกระทบกับทุกเวอร์ชันของซอฟต์แวร์ถ้ามีการเปิดใช้งาน “wls9_async_response.war” และ “wls-wsat.war”

ช่องโหว่นี้มีรหัส CNVD-C-2019-48814 ช่วยให้แฮ็กเกอร์สามารถลอบรันคำสั่งแปลกปลอมจากระยะไกลผ่านทางการส่ง HTTP Request ที่สร้างขึ้นมาเป็นพิเศษโดยที่ไม่ต้องมีการทำ Authorization ใดๆ Oracle WebLogic ที่ได้รับผลกระทบประกอบด้วย WebLogic 10.x และ WebLogic 12.1.3

ทีมนักวิจัยได้รายงานช่องโหว่ไปยังทีมรักษาความมั่นคงปลอดภัยของ Oracle แล้ว ซึ่งคงต้องรอทางเจ้าของผลิตภัณฑ์ออกแพตช์เพื่ออุดช่องโหว่ต่อไป ระหว่างนี้แนะนำให้ผู้ดูแลระบบแก้ไขปัญหาชั่วคราวโดยใช้หนึ่งในสองวิธี ดังนี้

  • ค้นหาและลบ wls9_async_response.war และ wls-wsat.war ทิ้ง จากนั้นรีสตาร์ท WebLogic Service
  • ป้องกันการเข้าถึง /_async/* และ /wls-wsat/* URL Paths โดยใช้ Access Policy Control

ที่มา: https://thehackernews.com/2019/04/oracle-weblogic-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] บรรยากาศงานสัมมนา The SAP S/4HANA Movement

จบกันไปแล้วกับงาน The SAP S/4HANA Movement อีกหนึ่งงานสัมมนาที่ทางทีมงาน ISS Consulting ร่วมกับ SAP Thailand จัดขึ้นเพื่อให้ผู้บริหารจากองค์กรธุรกิจต่างๆ ที่ปัจจุบันใช้ระบบ ERP ของ SAP เวอร์ชั่นตั้งแต่ ECC6 ลงมา ได้มารับฟังถึงแนวทางการปรับเปลี่ยนระบบ ERP จากเดิมไปสู่ SAP S/4HANA เพื่อเตรียมความพร้อมที่จะเข้าสู่การเป็น Digital Business ที่สามารถนำข้อมูลธุรกิจมาใช้งาน วิเคราะห์ และต่อยอดได้อย่างรวดเร็วคล่องตัว

NEXUS เชิญร่วมสัมมนาฟรี “Digitizing Intelligent Omni-Channel for your Retail Business” อาวุธลับความสำเร็จของธุรกิจค้าปลีกในรูปแบบใหม่

บริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อเพิ่มศักยภาพธุรกิจ ร่วมกับ SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 และ DELL EMC ผู้ให้บริการฮาร์ดแวร์ ชั้นนำของโลก ขอเรียนเชิญผู้บริหาร ทีมไอที และผู้ที่สนใจเข้าร่วมงานสัมมนา "Digitizing Intelligent Omni-Channel for your Retail Business" เพื่อเรียนรู้แนวทางการประยุกต์ใช้เทคโนโลยีต่างๆ มาเปลี่ยนให้ธุรกิจค้าปลีกของคุณก้าวสู่การเป็น Omni-Channel และ Online-to-Offline (O2O) ได้อย่างเต็มตัว ในวันที่ 30 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานดังนี้