Oracle在CVE-2019-2729上发布了带外安全警报咨询,该漏洞是通过Oracle WebLogic Server Web Services中的XMLDecoder进行的零日反序列化漏洞。 滥用CVE-2019-2729是一个与4月发现的另一个反序列化漏洞(CVE-2019-2725)相关的远程代码执行(RCE)漏洞,它可能允许远程攻击者在目标服务器上执行任意代码。
由于CVE-2019-2729的严重性,建议客户立即应用所需的补丁程序,CVSS评分为9.8(满分10)。KnownSec 404小组是第一个报告此漏洞的小组,他说: 攻击者已经在野外尝试利用它。
利用CVE-2019-2729不需要身份验证
CVE-2019-2729影响Oracle WebLogic Server版本10.3.6.0.0、12.1.3.0.0和12.2.1.3.0。 未经身份验证的攻击者可以通过HTTP访问网络,轻松利用此漏洞。 本质上,攻击者不需要凭据即可通过网络利用此漏洞。 如果成功完成,利用此漏洞可能导致目标Oracle WebLogic服务器的接管。
与CVE-2019-2725的相似之处
先前打补丁的CVE-2019-2725与CVE-2019-2729的基本得分相似,并且无需用户登录凭据即可被利用。 攻击者还利用CVE-2019-2725作为零日漏洞来安装加密货币挖掘恶意软件。
Trend Micro研究人员报告了此类活动,其中涉及滥用CVE-2019-2725在受影响的系统上安装Monero采矿恶意软件变体。 有趣的是,该计划背后的攻击者使用了证书文件来隐藏恶意软件变体的恶意代码。 使用这种混淆策略来逃避检测。
安全建议和趋势科技解决方案
组织应应用Oracle咨询中提供的更新来防御利用CVE-2019-2729的攻击,尤其是现在据报道它正在被积极利用。 企业可以利用趋势科技™深度发现™解决方案,该解决方案可以提供检测,深入分析以及对利用漏洞利用和其他类似威胁的攻击的主动响应。 它在整个攻击生命周期中使用专用引擎,自定义沙箱和无缝关联,即使没有任何引擎或病毒码更新也可以检测到威胁。 此外,组织可以使用趋势科技深度威胁发现设备网络设备监视所有端口和网络协议是否存在高级威胁。 威胁发现设备通过此DDI规则保护客户免受这些威胁的影响: 2903:可能的Oracle Weblogic远程命令执行漏洞-HTTP(请求)
虚拟补丁和应用程序控制等技术可以帮助组织避免临时补丁的负担。 审核工具还可以帮助组织在计划的补丁程序周期中包含重要的补丁程序,以减轻计划和部署的负担。
趋势科技™趋势科技服务器深度安全防护系统解决方案提供了虚拟补丁程序,可保护服务器和端点免遭滥用关键应用程序漏洞的威胁。 趋势科技服务器深度安全防护系统™和漏洞防护通过以下深度数据包检查(DPI)规则保护系统和用户: 1009816-Oracle Weblogic Server远程执行代码漏洞(CVE-2019-2729)
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢