เตือนช่องโหว่ Zero-day ระดับ Critical บน Oracle WebLogic จนถึงตอนนี้ยังไม่มีแพตช์

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก KnownSec 404 ออกมาแจ้งเตือนถึงช่องโหว่ Zero-day ความรุนแรงระดับ Critical บน Oracle WebLogic ซึ่งช่วยให้แฮ็กเกอร์ลอบรันโค้ดแปลกปลอมจากระยะไกลโดยไม่ต้องทำ Authorization ใดๆ ได้ และพบรายงานการโจมตีช่องโหว่ดังกล่าวเป็นที่เรียบร้อยแล้ว จนถึงตอนนี้ยังไม่มีแพตช์อุดช่องโหว่

Oracle WebLogic เป็น Multi-tier Enterprise Application Server ที่พัฒนาโดยใช้ภาษา Java ซึ่งช่วยให้ธุรกิจสามารถวางผลิตภัณฑ์หรือบริการบนระบบ Cloud ได้อย่างสะดวกรวดเร็ว อย่างไรก็ตาม KnownSec 404 กลับพบว่า Oracle WebLogic มีช่องโหว่ Deserialized Remote Code Execution ซึ่งส่งผลกระทบกับทุกเวอร์ชันของซอฟต์แวร์ถ้ามีการเปิดใช้งาน “wls9_async_response.war” และ “wls-wsat.war”

ช่องโหว่นี้มีรหัส CNVD-C-2019-48814 ช่วยให้แฮ็กเกอร์สามารถลอบรันคำสั่งแปลกปลอมจากระยะไกลผ่านทางการส่ง HTTP Request ที่สร้างขึ้นมาเป็นพิเศษโดยที่ไม่ต้องมีการทำ Authorization ใดๆ Oracle WebLogic ที่ได้รับผลกระทบประกอบด้วย WebLogic 10.x และ WebLogic 12.1.3

ทีมนักวิจัยได้รายงานช่องโหว่ไปยังทีมรักษาความมั่นคงปลอดภัยของ Oracle แล้ว ซึ่งคงต้องรอทางเจ้าของผลิตภัณฑ์ออกแพตช์เพื่ออุดช่องโหว่ต่อไป ระหว่างนี้แนะนำให้ผู้ดูแลระบบแก้ไขปัญหาชั่วคราวโดยใช้หนึ่งในสองวิธี ดังนี้

  • ค้นหาและลบ wls9_async_response.war และ wls-wsat.war ทิ้ง จากนั้นรีสตาร์ท WebLogic Service
  • ป้องกันการเข้าถึง /_async/* และ /wls-wsat/* URL Paths โดยใช้ Access Policy Control

ที่มา: https://thehackernews.com/2019/04/oracle-weblogic-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NEXUS เชิญร่วมสัมมนาพิเศษ SAP S/4HANA สำหรับกลุ่มธุรกิจ Food and Beverage และ High Tech ในวันที่ 28 พ.ค. 2019

พลาดไม่ได้!! งานสัมมนาพิเศษสำหรับผู้บริหารประจำปี 2019 โดย SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 ของโลก ได้จัดร่วมกับบริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อพัฒนา และเพิ่มประสิทธิภาพธุรกิจ โดยในงานสัมมนาครั้งนี้จะเน้นย้ำเกี่ยวกับโซลูชั่นและแนวทางใหม่ในการแก้ปัญหาการดำเนินธุรกิจ และเพิ่มประสิทธิภาพในการบริหารงานของกลุ่มธุรกิจ Food, Beverage และ High Tech ให้เจริญเติบโตในยุคดิจิตอลได้รวดเร็วมากยิ่งขึ้น ด้วยโซลูชั่นที่ได้รับความนิยมสูงสุดจากธุรกิจทั่วโลก โดยมีรายละเอียด และสามารถลงทะเบียนเข้าร่วมงานฟรีได้ที่ลิ้งด้านล่างนี้

TechTalk Webinar: Modernize IT Infrastructure with Google Cloud Platform โดย Tangerine

Tangerine ขอเรียนเชิญเหล่า IT Manager, System Engineer, Software Developer และผู้ที่สนใจทุกท่าน เข้าร่วม TechTalk Webinar ในหัวข้อเรื่อง "Modernize IT Infrastructure with Google Cloud Platform โดย Tangerine" เพื่อเริ่มต้นทำความรู้จักกับ Google Cloud Platform กับการนำไปใช้พัฒนาระบบ IT ให้ทันสมัยเพื่อตอบสนองต่อความต้องการทางธุรกิจที่เปลี่ยนแปลงไปได้อย่างรวดเร็ว ก้าวทันยุค Digital ในวันอังคารที่ 28 พฤษภาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้