Zafiyet Tanımı

Risk: Kritik
CVND numarası: CNVD-C-2019-48814
Etki altındaki versiyonlar:
Oracle WebLogic Server 10.X
Oracle WebLogic Server 12.1.3

24 Nisan’da, Ulusal Bilgi Güvenliği Güvenlik Açığı Paylaşım Platformu (CNVD), Weblogic seri kaldırma uzaktan kod yürütme güvenlik açığını (CNVD-C-2019-48814) açıkladı. Bu güvenlik açığı wls9_async_response.war bileşeninde bulunmaktadır. WebLogic ile birlikte gelen wls-wsat. Bileşende, giriş bilgilerini seri hale getirme sürecindeki kusurlar nedeniyle, yetkisiz bir saldırgan, sunucu izinlerini almak ve uzaktan kod yürütülmesini uygulamak için dikkatli bir şekilde oluşturulmuş kötü amaçlı bir HTTP isteği gönderebilir.
Şu an internette birçok weblogic servisini kullanan sunucu bulunmakta. Zoomeye servisi kullanılarak aşağıdaki sorgu ile bunların tespiti kolayca yapılabilir.

https://www.zoomeye.org/searchResult?q=weblogic

Oracle WebLogic 0day RCE Güvenlik Açığı

Zafiyetli Dosya Yolu

Copy to Clipboard

Zafiyetin Tespiti

Aşağıda belirtilen sayfalara erişim sağlanabilmesi sistemde zafiyetin varlığını belirtmektedir.

Copy to Clipboard
Oracle WebLogic 0day RCE Güvenlik Açığı
Oracle WebLogic 0day RCE Güvenlik Açığı

Exploit
PoC

http://ip:port/_async/AsyncResponseService adresine aşağıdaki isteği yaparak Linux bir sunucuda reverse Shell alınabilir.

Copy to Clipboard
Oracle WebLogic 0day RCE Güvenlik Açığı

Dinlemede olan makinemiz reverse Shell alır.

Oracle WebLogic 0day RCE Güvenlik Açığı
Oracle WebLogic 0day RCE Güvenlik Açığı

Hedef sunucunun işletim sistemine göre yapacağımız istek değişebilir. Windows makinelerde ortak ağda bulunduracağımız bir webshell’i hedef sunucuda indirilmesini sağlayarak bir webshell açılabilir.

Copy to Clipboard

Yukarıdaki istekte, servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/ varsayılan yoldur. Yol değiştirilirse, reverse Shell ile elde edilebilir.

InfinitumIT
// Güvenli günler için…
infinitumit.com.tr