Cảnh báo lỗ hổng Oracle WebLogic CVE-2024-21216 cho phép chiếm quyền kiểm soát hệ thống từ xa

Oracle vừa phát hành Bản cập nhật bảo mật quan trọng tháng 10/2024, giải quyết 329 lỗ hổng trong nhiều sản phẩm của hãng. Đáng chú ý nhất là 5 lỗ hổng nghiêm trọng trong thành phần Core của Oracle WebLogic Server, một nền tảng máy chủ ứng dụng Java phổ biến. Trong số đó, CVE-2024-21216 là lỗ hổng nguy hiểm nhất với mức CVSS 9.8, cho phép kẻ tấn công từ xa khai thác mà không cần xác thực, dẫn đến việc chiếm quyền kiểm soát hoàn toàn hệ thống.

CVE-2024-21216 (CVSS 9.8) là lỗ hổng nghiêm trọng nhất trong số các lỗ hổng được phát hiện. Lỗ hổng này cho phép kẻ tấn công không xác thực khai thác từ xa thông qua các giao thức T3 và IIOP (được kích hoạt mặc định trên WebLogic). Kết quả là, kẻ tấn công có thể chiếm toàn quyền kiểm soát máy chủ mà không cần tương tác từ người dùng.

Ngoài CVE-2024-21216, các lỗ hổng khác có mức CVSS 7.5 bao gồm CVE-2024-21274, CVE-2024-21215, CVE-2024-21234, và CVE-2024-21260, cũng ảnh hưởng đến các phiên bản Oracle WebLogic Server 12.2.1.4.0 và 14.1.1.0.0. Những lỗ hổng này có thể dẫn đến tấn công từ chối dịch vụ (DoS) hoặc truy cập trái phép vào dữ liệu nhạy cảm.

Phương thức khai thác

Lỗ hổng này bắt nguồn từ việc Oracle WebLogic Server cho phép truy cập qua các giao thức T3 và IIOP (Internet Inter-ORB Protocol) mà không cần xác thực. Đây là các giao thức dùng để giao tiếp giữa WebLogic và các ứng dụng Java khác, và chúng thường được bật mặc định trong cài đặt WebLogic. Kẻ tấn công chỉ cần có quyền truy cập mạng tới máy chủ WebLogic đang chạy, và thông qua các giao thức này, họ có thể gửi yêu cầu độc hại từ xa và chiếm quyền kiểm soát toàn bộ máy chủ mà không cần người dùng can thiệp hay xác thực.

Bước khai thác:

– Xác định hệ thống dễ bị tấn công: Kẻ tấn công có thể quét các máy chủ WebLogic công khai trên internet để phát hiện những hệ thống có các giao thức T3 hoặc IIOP được bật.
– Gửi yêu cầu độc hại: Sau khi xác định được hệ thống dễ bị tấn công, kẻ tấn công sẽ gửi một chuỗi các yêu cầu qua các giao thức T3 hoặc IIOP. Các yêu cầu này có thể khai thác lỗ hổng trong WebLogic Server, cho phép chúng truy cập mà không cần xác thực.
– Chiếm quyền kiểm soát hệ thống: Nếu khai thác thành công, kẻ tấn công có thể chiếm quyền root hoặc quyền quản trị cao nhất trên máy chủ, cho phép chúng thực hiện bất kỳ hành động nào trên hệ thống, bao gồm việc thay đổi, xóa dữ liệu, cài đặt phần mềm độc hại, hoặc sử dụng máy chủ để thực hiện các cuộc tấn công tiếp theo.

Điều kiện khai thác:

Lỗ hổng này không yêu cầu bất kỳ thông tin xác thực nào và cũng không cần người dùng tương tác. Điều kiện duy nhất là kẻ tấn công phải có quyền truy cập tới mạng của máy chủ WebLogic. Vì các giao thức T3 và IIOP thường được bật mặc định trên các cài đặt WebLogic, điều này khiến nhiều hệ thống trở thành mục tiêu dễ bị tấn công.

Các lỗ hổng liên quan:

– CVE-2024-21274 (CVSS 7.5): Dẫn đến từ chối dịch vụ (DoS) thông qua các yêu cầu độc hại gửi đến máy chủ WebLogic.
– CVE-2024-21215 (CVSS 7.5): Cho phép truy cập trái phép vào dữ liệu nhạy cảm mà không cần xác thực.
– CVE-2024-21234 (CVSS 7.5): Có thể gây ra các cuộc tấn công từ chối dịch vụ (DoS).
– CVE-2024-21260 (CVSS 7.5): Ảnh hưởng đến an ninh dữ liệu của hệ thống WebLogic.

Khuyến nghị:

Oracle đã phát hành bản vá cho lỗ hổng này trong bản cập nhật bảo mật tháng 10/2024. Các quản trị viên hệ thống được khuyến cáo:

– Cập nhật hệ thống WebLogic Server lên phiên bản mới nhất ngay lập tức để khắc phục lỗ hổng.
– Vô hiệu hóa hoặc bảo mật các giao thức T3/IIOP nếu chúng không cần thiết hoặc giới hạn quyền truy cập đối với các giao thức này trong mạng an toàn.
– Giám sát hoạt động trên hệ thống để phát hiện sớm các hành vi khai thác lỗ hổng từ xa và ngăn chặn kịp thời.

Phiên bản bị ảnh hưởng:

– Oracle WebLogic Server phiên bản 12.2.1.4.0
– Oracle WebLogic Server phiên bản 14.1.1.0.0