Zafiyetler

Oracle WebLogic 0day RCE Güvenlik Açığı

Zafiyet Tanımı

Risk: Kritik
CVND numarası: CNVD-C-2019-48814
Etki altındaki versiyonlar:
Oracle WebLogic Server 10.X
Oracle WebLogic Server 12.1.3

24 Nisan’da, Ulusal Bilgi Güvenliği Güvenlik Açığı Paylaşım Platformu (CNVD), Weblogic seri kaldırma uzaktan kod yürütme güvenlik açığını (CNVD-C-2019-48814) açıkladı. Bu güvenlik açığı wls9_async_response.war bileşeninde bulunmaktadır. WebLogic ile birlikte gelen wls-wsat. Bileşende, giriş bilgilerini seri hale getirme sürecindeki kusurlar nedeniyle, yetkisiz bir saldırgan, sunucu izinlerini almak ve uzaktan kod yürütülmesini uygulamak için dikkatli bir şekilde oluşturulmuş kötü amaçlı bir HTTP isteği gönderebilir.
Şu an internette birçok weblogic servisini kullanan sunucu bulunmakta. Zoomeye servisi kullanılarak aşağıdaki sorgu ile bunların tespiti kolayca yapılabilir.

https://www.zoomeye.org/searchResult?q=weblogic

Zafiyetli Dosya Yolu

Zafiyetin Tespiti

Aşağıda belirtilen sayfalara erişim sağlanabilmesi sistemde zafiyetin varlığını belirtmektedir.

Exploit
PoC

http://ip:port/_async/AsyncResponseService adresine aşağıdaki isteği yaparak Linux bir sunucuda reverse Shell alınabilir.

Dinlemede olan makinemiz reverse Shell alır.

Hedef sunucunun işletim sistemine göre yapacağımız istek değişebilir. Windows makinelerde ortak ağda bulunduracağımız bir webshell’i hedef sunucuda indirilmesini sağlayarak bir webshell açılabilir.

Yukarıdaki istekte, servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/ varsayılan yoldur. Yol değiştirilirse, reverse Shell ile elde edilebilir.

InfinitumIT
// Güvenli günler için…
infinitumit.com.tr