[EXPLOIT] Prise de contrôle du système via une vulnérabilité au sein d'Oracle WebLogic Server

Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons de revenir sur la publication d’un code d’exploitation affectant Oracle WebLogic Server. L’exploitation de la vulnérabilité associée permet à un attaquant distant de prendre le contrôle du système à distance.


Description :

Une preuve de concept, exploitant l’une des vulnérabilités présentées dans le bulletin CXA-2017-1538, a été publiée.

La vulnérabilité en question, référencée CVE-2017-3506, affecte le composant « WLS » du produit Oracle WebLogic. L’exploitation de cette faille permet la prise contrôle d’un système.

La preuve de concept se matérialise sous la forme d’une requête HTTP SOAP de type POST envoyée vers la ressource « /wls-wsat/CoordinatorPortType11 ». Cette requête embarque du code Java spécialement conçu pour exploiter la faille afin de permettre à un attaquant distant d’exécuter des commandes arbitraires sur le système.

Cette vulnérabilité est actuellement exploitée sur Internet.

Note : la preuve de concept exploite une vulnérabilité corrigée par Oracle au sein du « CPU » (critical patch updates) d’octobre 2017.


Versions vulnérables :

  • Oracle WebLogic Server version 10.3.6.0.0
  • Oracle WebLogic Server 12.1.3.0.0
  • Oracle WebLogic Server12.2.1.1.0
  • Oracle WebLogic Server version 12.2.1.2.0

Recommandation :

Le CERT-XMCO recommande l’installation de la dernière version d’Oracle WebLogic Server disponible via l’adresse suivante :

http://www.oracle.com/technetwork/middleware/weblogic/downloads/index.html


Références :

https://www.secfree.com/article-635.html
https://twitter.com/hkashfi/status/944665602911801347
https://pbs.twimg.com/media/DRwl1K1WAAEWbHq.jpg
http://vulsee.com/archives/vulsee_2017/1222_5094.html

https://leportail.xmco.fr/watch/advisory/CXA-2017-1538


 

Référence CERT-XMCO :

CXA-2017-4839

Adrien Guinault

Découvrir d'autres articles