Спецпроекты

Серверам приложений Oracle грозит опасность уровня 9,8 балла из 10 возможных

Безопасность

Выпущен срочный патч для Oracle WebLogic Server к уязвимости, которую уже активно пытаются эксплуатировать. Всего несколько дней назад стало известно об эксплуатации другой, весьма похожей уязвимости в том же ПО.

Патч вне очереди

Корпорация Oracle вынуждена была выпустить внеочередной патч для еще одной критической уязвимости, которую начали активно эксплуатировать киберзлоумышленники. Речь идет о баге CVE-2020-14750, затрагивающем множественные версии Oracle WebLogic Server — платформы для разработки, развертывания и запуска корпоративных приложений, например Java, в локальной и облачной среде.

Уязвимость, степень угрозы от которой в Oracle оценили в 9,8 балла из 10 возможных, позволяет неавторизованным злоумышленникам запускать произвольный код и захватывать контроль над уязвимым сервером через HTTP-запрос.

Без авторизации и участия оператора

Других технических подробностей не приводится. Впрочем, в Oracle указывают, что эта уязвимость связана с другой, исправленной в обновлении, выпущенном в октябре 2020 г. Та уязвимость также допускала удаленный запуск произвольного кода без авторизации.

Oracle срочно патчит новый критический баг

Отметим, что всего несколько дней назад стало известно, что киберпреступники активно пытаются эксплуатировать уязвимость с индексом CVE-2020-14882, которая также получила оценку угрозы 9,8 из 10 возможных. Баг позволяет скомпрометировать систему с помощью специально подготовленного запроса HTTPGET. Патч для уязвимости был выпущен ранее в октябре.

Обе уязвимости затрагивают версии Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, и 14.1.1.0.0.

В Oracle настаивают на скорейшей установке обновлений на любые уязвимые системы. Учитывая, что злоумышленники уже используют этот баг в кибератаках, промедление может дорого обойтись операторам серверов.

«С начала октября Oracle крепко подкинул работы пользователям WebLogic, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Две критические уязвимости, обе уже эксплуатируемые и обе нуждаются в срочном исправлении, поскольку в противном случае операторов уязвимых серверов ожидает весь мыслимый набор неприятностей. Остается надеяться, что к двум связанным друг с другом уязвимостям не прибавятся третья, а то и четвертая».