باگ امنیتی deserialization در Oracle WebLogic و دسترسی RCE

تیر ۱۶, ۱۳۹۹

آسیب‌پذیری deserialization در نرم‌افزار Oracle WebLogic Server با شناسه ‌آسیب‌پذیری CVE-2020-2555 اعلام شده بود ولی در حال حاضر یک متخصص امنیتی گزارشی مبنی بر دورزدن راهکار رفع باگ را به باگ بانتی ZDI ارایه نموده است و به صورت فعال اکسپلویت آسیب‌پذیری صورت می‌گیرد.

شناسه آسیب‌پذیر:

CVE-2020-2883

درجه آسیب‌پذیری:

CVE-2020-2883:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Base Score: 9.8 Critical

سیستم‌ها آسیب‌پذیر:

CVE-2020-2883:

Server product of Oracle Fusion Middleware (component: Core) versions that are affected are 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 and 12.2.1.4

نیازمند تعامل کاربری: خیر

سال شناسایی: 2020

توضیحات:

باگدشت در این صفحه به بررسی باگ امنیتی deserialization پرداخته است. امیدواریم برای شما مفید باشد.
در اکسپلویت آسیب‌پذیری CVE-2020-2555 که توسط یک متخصص امنیتی به ZDI ارایه شده بود، کتابخانه Coherence دارای ضعف امنیتی می‌باشد. حمله موفق و اکسپلویت آسیب‌پذیری سرور Oracle Coherence را در اختیار می‌گیرید. آسیب‌پذیری deserialization غیرامن یک هدف رایج برای هکرها و متخصصان امنیت در محصولات نرم‌افزارها تحت وب جاوا شده است. این آسیب‌پذیری اغلب باعث RCE می‌شود و به سختی می‌تواند این باگ را رفع کرد. آسیب‌پذیری CVE-2020-2883 باعث دور زدن به‌روز رسانی امنیتی برای آسیب‌پذیری CVE-2020-2555 می‌شود و این باگ توسط محقق امنیتی Quynh Le از گروه VNPT ISC به ZDI گزارش شد.

دورزدن وصله به‌روز رسانی:

در وصله امنیتی برای آسیب‌پذیری CVE-2020-2555 بررسی راهکار برای زنجیره زیر پوشش داده نشده است:

BadAttributeValueExpException.readObject()
	com.tangosol.util.filter.LimitFilter.toString() //<--- CVE-2020-2555 patched here
		com.tangosol.util.extractor.ChainedExtractor.extract()
			com.tangosol.util.extractor.ReflectionExtractor().extract()
				Method.invoke()
				//...
				com.tangosol.util.extractor.ReflectionExtractor().extract()
				Method.invoke()
				Runtime.exec()

فعال کردن ()chainedExtractor.extract باعث اجرای RCE می‌شود. در گزارش متخصص امنیتی Quynh Le نشان می‌دهد هنوز امکان در دسترس بودن ()chainedExtractor.extract از طریق کلاس‌های ExtractorComparator و AbstractExtractor وجود دارد. این آسیب پذیری در کتابخانه Coherence وجود دارد و هر تابعی که از این کتابخانه استفاده نماید، آسیب‌پذیر است.

Serialization به فرآیند تبدیل object ها به فرمت داده‌ای که بتواند ذخیره سازی شود گفته می‌شود. این راهکار برای ذخیره و یا انتقال داده‌ها استفاده می‌شود. Deserialization به فرآیند معکوس آن گفته شده که ساختار داده‌ای را به object تبدیل می‌نماید، معروفترین ساختار برای این فرآیند JSON و XML است. مشکل امنیتی در این فرآیند در پردازش داده‌های غیرمطمئن توسط سرور می‌باشد که منجربه حملات DoS، دسترسی و یا RCE می‌شود. برای مطالعه بیشتر جزئیات آسیب‌پذیری deserialization در جاوا می‌توانید به white paper از Moritz Bechler مراجعه کنید. اوراکل اشاره به گستردگی اکسپلویت آسیب‌پذیری نکرده است ولی توصیه به‌روز رسانی را الزامی نموده است. همچنین راهنمایی برای محدود کردن ترافیک پرتکل T3/T3S برای Oracle WebLogic Server ارائه کرده‌اند. به‌روز رسانی بعدی اوراکل در ۱۴ ژولای ۲۰۲۰ منتشر می‌شود و باید دید چند آسیب‌پذیری deserialization باقی خواهد ماند.

باگدشت در این صفحه به بررسی باگ امنیتی deserialization پرداخته است. امیدواریم برای شما مفید باشد.

منابع:

وبلاگ

آخرین مطالب

پنجمین رویداد سالانه امنیتی باگدشت با نام CTB در مرداد ماه سال ۱۴۰۳ برگزار شد

پنجمین رویداد امنیتی CTB با حمایت شرکتهای خدمات ارتباطی ایرانسل، دیجی‌کالا، سفرهای علی‌بابا، تپسی، بانک توسعه و تعاون و رسانه پیوست از هشتم تا هفدهم مرداد ماه برگزار شد.

امنیت در امتداد کسب و کار سازمان از دیدگاه مهندسی آشوب

در این مقاله خلاصه صحبتهای انجام شده توسط مجموعه کارکسب به عنوان یک مجموعه متمرکز بر بهبود کسب و کارهای کشور و خانم دکتر رویا دهبسته مدیرعامل باگدشت ارائه شده است. موضوع این صحبت، امنیت سامانه‌ها، روال اجرای آن در سازمان‌ها، تاثیر آن در موفقیت کسب و کار و چالش‌های روبرو در سازمان‌ها می‌باشد

امنیت داده در استارتاپ‌ها؛ موضوع پنل نشست سرمایه‌گذاری کارایا با حضور باگدشت

پنل اختصاصی این رویداد با موضوع "امنیت داده در استارتاپ‌ها" با راهبری جناب آقای احمدرضا صادقی(مدیراجرایی نیک‌ونچرز و عضو هیات اجرایی کارایا) با حضور آقایان سهراب بهروزیان"مدیر ارشد زیرساخت و امنیت دیجیکالا" ، مجتبی مددخانی"مدیر انفورماتیک شرکت فناوری اطلاعات هلو" صابر غفاری مقدم "کارشناس رسمی قوه قضاییه" و سرکار خانم رویا دهبسته "مدیرعامل پلتفرم خدمات امنیتی باگدشت" برگزار گردید و به پرسش و پاسخ و گفتگو پرداختند

مصاحبه مدیرعامل باگدشت با کارافرین نیوز در خصوص کارفرینی و دغدغه منابع انسانی در امنیت سایبری

در این گزارش به بررسی مصاحبه صورت گرفته با خانم رویا دهبسته مدیرعامل شرکت باگدشت، در خصوص روند کارآفرینی در حوزه امنیت سایبری و همچنین دغدغه‌های حوزه منابع انسانی می‌پردازیم.

کدنویسی امن – مدیریت نشست‌ها

اپلیکیشن‌های تحت وب برای شناسایی و تعامل با کاربرهای احراز هویت شده از نشست (Session) استفاده می‌کنند. درصورتی‌که احراز هویت کاربر و مدیریت نشست به‌درستی پیکربندی نشده باشد، مهاجمان ممکن است بتوانند رمزهای عبور، کلیدها یا توکن‌های نشست را به دست بیاورند تا از این طریق به حساب‌های کاربران دسترسی پیدا کنند و هویت آنها جعل کنند.

کدنویسی امن – احراز هویت و مدیریت رمز عبور

وقتی صحبت از هک و نقص امنیتی می‌شود، اولین چیزی که اغلب به ذهن شنونده می‌رسد لورفتن رمز عبور است. درصورتی‌که کاربرها از ترکیب ایمیل یا نام کاربری به همراه رمز عبور یکسان برای ثبت‌نام استفاده کرده باشند، هکرها می‌توانند داده‌های رمز عبور را برای دسترسی به سایر حساب‌های کاربری در وب‌سایت‌های مختلف استفاده کنند.

کدنویسی امن – کدگذاری خروجی‌ها

اگر امنیت سایبری چیزی به ما یاد داده باشد، این است که همیشه در سیستم‌ها نقص، هک و آسیب‌پذیری وجود خواهد داشت. امنیت سایبری به‌عنوان یک مسیر شغلی، زمینه‌ای است که همیشه در حال تغییر است؛ بنابراین با ظهور فناوری‌های جدید و تکنیک‌های جدید هک، باید به طور مداوم دانش خود را ارتقا دهید.

برگزاری چهارمین رویداد امنیتی CTB باگدشت با مشارکت ایرانسل، دیجی‌کالا و کاشف

رویداد شناسایی باگ‌های امنیتی «CTB» یا «Capture The Bug» برای چهارمین سال پیاپی توسط مجموعه باگدشت در مرداد ماه ۱۴۰۲ برگزار شد. هدف اصلی از برگزاری این رویداد، فرهنگ‌سازی و ایجاد همکاری میان متخصصان امنیتی و سازمان‌های کشور است.