Oracle a publié dimanche une rare mise à jour de sécurité hors cycle afin de remédier à un correctif incomplet pour une vulnérabilité récemment révélée dans les serveurs Oracle WebLogic. La faille est actuellement activement exploitée dans des attaques informatiques.
Le nouveau patch (suivi sous le nom de CVE-2020-14750) ajoute des corrections supplémentaires à un premier bug (suivi sous le nom de CVE-2020-14882), initialement corrigé avec les mises à jour de sécurité trimestrielles standard d’Oracle, soit la mise à jour de sécurité d’octobre 2020.
CVE-2020-14882 est une vulnérabilité dangereuse qui permet aux attaquants d’exécuter du code malveillant sur un serveur Oracle WebLogic avant que l’authentification du serveur ne soit activée. Pour exploiter CVE-2020-14882, il suffit à un attaquant d’envoyer une requête HTTP GET piégée à la console de gestion du serveur WebLogic.
PoC rendue publique
La PoC du code d’exploitation a été rendue public dans les jours qui ont suivi le patch initial d’Oracle [1, 2, 3, 4, 5]. Comme cela s’est déjà produit plusieurs fois, ce code a été rapidement adopté par des groupes de pirates, et la semaine dernière, SANS ISC a signalé des attaques contre des honeypots WebLogic.
Mais même les systèmes patchés n’étaient pas considérés comme sûrs. Selon Adam Boileau, consultant principal en sécurité chez Insomnia Sec, le patch original pour CVE-2020-14882 pourrait être contourné. Les récentes attaques et le contournement du correctif original ont conduit Oracle à publier une deuxième série de correctifs dimanche, dans une rare mise à jour de sécurité hors bande.
Il est désormais conseillé aux entreprises qui exploitent des serveurs WebLogic d’installer le correctif CVE-2020-14750 supplémentaire pour protéger à la fois de l’exploit CVE-2020-14882 original et de son contournement. Selon la société de sécurité Spyse, plus de 3 300 serveurs WebLogic sont actuellement exposés en ligne et considérés comme vulnérables à la vulnérabilité CVE-2020-14882 d’origine.
