Patch bâclé sur WebLogic, les pirates en profitent

La dernière vague de correctifs de sécurité d’Oracle comprenait un patch pour les serveurs WebLogic. Selon un chercheur, il n’est pas efficace au point de donner la possibilité à des pirates de prendre le contrôle des serveurs. Les cybercriminels en profitent pour scanner le web à la recherche des serveurs vulnérables.

Après les plantages à répétition d’Intel sur les correctifs liés aux failles Meltdown et Spectre, voici qu’Oracle est à son tour dans la tourmente. Le cœur du problème provient de la faille CVE-2018-2628,  touchant les serveurs d’applications Java WebLogic. Elle a été corrigée dans la livraison trimestrielle de correctifs de sécurité d’Oracle, le 17 avril dernier.

Des erreurs dans la programmation du patch

Mais selon un tweet de @pyn3rd, qui se présente comme un chercheur en sécurité chez Alibaba Cloud, le patch présenté par Oracle est « facilement contournable » en raison d’une erreur de programmation. Dans un autre message, le même chercheur explique qu’il suffit dans le code de remplacer <java.rmi.activation.Activator> à la place de la commande <java.rmi.registry.Registry>. PoC à l’appui, il peut obtenir le contrôle complet du serveur d’applications.

La conséquence de ce tweet a été immédiate. Les cybercriminels ont cherché à exploiter cette faille dans le patch en scannant le web à la recherche de serveurs vulnérables. La firme de cybersécurité GreyNoise a constaté un pic d’activité sur le port 7001 lié aux serveurs WebLogic. Les spécialistes en sécurité appellent à bloquer ce port pour éviter de mauvaises surprises. Concernant le patch, ils sont très critiques en soulignant que les ingénieurs d’Oracle ont bâclé le travail. Kevin Beaumont dans un tweet précise qu’Oracle n’a pas corriger les problèmes, mais a juste blacklisté des commandes. Or, Oracle a oublié une ou plusieurs commandes.

Ce type d’erreur, comme dans le cas de Spectre et Meltdown pour Intel ou Microsoft, pose le problème de la confiance des responsables informatiques dans les correctifs de sécurité. Jusqu’à maintenant, le cercle était vertueux entre les éditeurs et les opérationnels pour ne livrer que des patchs efficaces et testés. Avec Spectre et Meltdown, la donne a changé, pour les RSSI il est maintenant « urgent d’attendre » dans les mises à jour de sécurité. La confiance a été entamée et l’épisode de WebLogic d’Oracle va obliger les éditeurs à être plus vigilants et plus rigoureux sur la réalisation des patchs.

Photo credit: Hivint on VisualHunt /  CC BY

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s