Les chercheurs de Trend Micro expliquent comment les attaquants ont contourné le correctif pour une vulnérabilité de désérialisation dans Oracle WebLogic Server.

Oracle a récemment exhorté ses clients à déployer sa mise à jour des correctifs critiques d’avril 2020 pour corriger CVE-2020-2883, une vulnérabilité affectant plusieurs versions d’Oracle WebLogic Server. La société et US-CERT ont publié des avertissements pour informer les utilisateurs que la faille faisait l’objet d’une attaque active.

Maintenant, des chercheurs de Zero-Day Initiative (ZDI) de Trend Micro ont publié une analyse du bogue. Plus tôt cette année, une vulnérabilité de désérialisation dans Oracle WebLogic Server a été corrigée par Oracle et affectée CVE-2020-2555. Plus tard, le chercheur en sécurité Quynh Le de VNPT ISC a trouvé une faille montrant comment un attaquant pouvait contourner le premier bogue. Le deuxième défaut a reçu le label CVE-2020-2883 et est maintenant exploité à l’état sauvage, explique le chercheur de ZDI, Sivathmican Sivakumaran.

Les cybercriminels utilisent CVE-2020-2883 pour cibler les serveurs non corrigés, prévient US-CERT. Dans une analyse, Sivakumaran note que cette faille se trouve dans la bibliothèque Coherence. “Toute application avec la bibliothèque Coherence dans son chemin de code où il existe un chemin vers la désérialisation est également vulnérable”, déclare-t-il. Un exemple est Oracle Business Intelligence, qui est déployé sur Oracle WebLogic.

Oracle ne mentionne pas l’étendue des attaques, mais souligne l’importance des correctifs et propose des conseils sur la façon de restreindre le trafic du protocole T3 / T3S pour WebLogic Server. La société publiera son prochain lot de correctifs de sécurité le 14 juillet.