Oracle WebLogic Server via Zero-Day-LĂĽcke aus der Ferne angreifbar
Chinas National Vulnerability Database warnt vor einer ungepatchten Remote-Code-Execution-Lücke in WebLogic 10.x und 12.1.3 und rät zu Schutzmaßnahmen.
Im Java EE-Anwendungsserver Oracle WebLogic steckt eine Sicherheitslücke, die Angreifern unauthentifizierten Fernzugriff sowie die Ausführung beliebiger Befehle auf verwundbaren Servern (Remote Code Execution) ermöglichen könnte.
Die China National Vulnerability Database (CNVD) stuft die Gefahr in einem Sicherheitshinweis als "hoch" ein. Das Sicherheitsforscherteam KnownSec 404 hat eine englischsprachige Beschreibung mit den wichtigsten Informationen veröffentlicht.
Der Angriff erfolgt mittels speziell präparierter HTTP-Requests. Er ist laut CNVD nur dann durchführbar, wenn die WebLogic-Komponenten wls9_async_response.war und wls-wsat.war aktiv sind. Verwundbar seien die Versionen 10.x und 12.1.3.
Workarounds wehren die Gefahr vorerst ab
Die CVND hat Oracle über die Gefahr informiert; wann ein Patch folgen wird, ist aber ungewiss. Oracles quartalsweise stattfindendes "Critical Patch Update" für April erfolgte einen Tag vor Veröffentlichung des Sicherheitshinweises zur aktuellen Lücke.
Die Vergabe einer CVE-Nummer steht ebenfalls noch aus; die CVND fĂĽhrt die LĂĽcke unter der Kennung CNVD-C-2019-48814. DafĂĽr kursiert aber bereits Proof-of-Concept-Code nebst einer Video-Demonstration des Angriffs im Netz. Das Risiko kĂĽnftiger aktiver Exploits ist dementsprechend hoch.
Admins, die ein potenziell gefährdetes System verwalten, können dieses laut CVND absichern, indem sie wls9_async_response.war und wls-wsat.war löschen und anschließend den WebLogic-Service neu starten. Alternativ könne man auch den Zugriff auf die Pfade /_async/* und /wls-wsat/* mittels entsprechender Zugriffsrichtlinien unterbinden. (ovw)