Федеральным ведомствам США дан срок до четверга для устранения критической уязвимости в Oracle WebLogic Server, обнаруженной два года назад, которая может позволить неаутентифицированному злоумышленнику получить доступ к критически важным данным.
Уязвимость, CVE-2024-21182, была добавлена в понедельник в каталог Агентства по кибербезопасности и защите инфраструктуры (CISA) «Известные эксплуатируемые уязвимости» (KEV), предоставив администраторам Oracle в федеральных структурах всего четыре дня на устранение этой бреши.
Затронутыми являются поддерживаемые версии 12.2.1.4.0 и 14.1.1.0.0.
Хотя каталог KEV нацелен на федеральные ведомства США, включение уязвимости в этот список следует рассматривать как предупреждение и для частного сектора.
На момент обнаружения эта уязвимость получила оценку 7.3 по шкале CVSS, что далеко от рейтинга 9+, который многие специалисты по информационной безопасности сочли бы сигналом к немедленному принятию мер.
Однако Роберт Эндерл, консультант и глава Enderle Group, заявил, что включение этой уязвимости в KEV теперь означает, что CISA недавно подтвердило активное использование ее злоумышленниками.
«Включение в KEV CISA означает, что мы наблюдаем активную эксплуатацию», — согласился Тайлер Регули, заместитель директора по исследованиям и разработкам в области безопасности Fortra. «Учитывая, что Oracle устранила эту CVE в рамках июльского пакета обновлений (CPU) 2024 года, я бы ожидал, что большинство администраторов уже установили исправление, тем более что это уязвимость WebLogic, и до добавления этой CVE в каталоге KEV уже было более десятка уязвимостей WebLogic».
Старые уязвимости в эксплуатации
У Регули также было замечание относительно того, как быстро уязвимости попадают в KEV. По его предварительной оценке, только около 41% CVE в списке были добавлены в том же году, когда были выпущены. Если рассматривать год выпуска + 1, этот показатель возрастает до 58%. Это все еще означает, что, что удивительно, более 40% CVE, добавленных в каталог KEV CISA, появляются спустя два года или более после их выпуска. «Я полагаю, имеет смысл, что эта [двухлетняя брешь в Oracle] всплывает только сейчас, если учесть, что организация, которая не обновляла свои системы в течение нескольких лет, вероятно, является более легкой мишенью, чем организация, которая регулярно устанавливает исправления. В конце концов, регулярное обновление, вероятно, подразумевает более высокую осведомленность о безопасности».
На вопрос о том, почему эта уязвимость добавляется спустя два года после ее обнаружения, представитель CISA сослался на веб-страницу ведомства с объяснением критериев включения ошибок в каталог, где указано, что список содержит уязвимости, которые эксплуатировались в реальных условиях. Представитель не ответил на вопрос о том, сколько федеральных серверов до сих пор не получили исправления спустя столько времени.
Oracle WebLogic Server — это унифицированная и расширяемая платформа для разработки, развертывания и запуска корпоративных приложений на Java, локально и в облаке. Она полностью поддерживается в Kubernetes и позволяет пользователям мигрировать и эффективно создавать современные контейнерные приложения с комплексными сервисами Java. Короче говоря, это жизненно важный компонент промежуточного ПО, который может хранить конфиденциальные корпоративные данные.
Неудивительно, что злоумышленники стремятся использовать любые уязвимости такого типа. В 2019 году сообщалось, что злоумышленники сканировали серверы WebLogic на предмет уязвимости к новому методу обхода защитных мер, который Oracle исправила годом ранее.
Ранее в этом году фирма по безопасности CloudSek развернула honeypot для изучения реакции злоумышленников на недавно обнаруженную и крайне серьезную уязвимость удаленного выполнения кода в WebLogic Server, CVE-2026-21962, с оценкой CVSS 10, а также для оценки их интереса к старым уязвимостям. В течение 12 дней попытки атак, нацеленные на эту новую, похожую на уязвимость нулевого дня, были зафиксированы сразу после публичного выпуска кода ее эксплойта, «что демонстрирует быструю милитаризацию критических уязвимостей Oracle WebLogic».
Злоумышленники также пытались использовать уязвимость, о которой сообщалось в 2017 году, и две уязвимости 2020 года на сервере-ловушке, созданном CloudSek, который не был обновлен.
Медленное исправление — «очевидный риск»
Учитывая важность продуктов Oracle для крупных предприятий, компания недавно перешла с квартального на ежемесячный цикл выпуска исправлений безопасности. Первый из этих патчей был выпущен в понедельник.
Недавнее добавление уязвимости WebLogic в KEV иллюстрирует общую проблему в том, как многие организации подходят к вопросам безопасности, отметил Джин Муди, технический директор по работе с клиентами в Action1. «Проблема не только в самой уязвимости. Большая проблема — это задержка между выпуском исправления и его фактическим применением на реальных системах. Эта задержка дает атакующим шанс действовать, а также сигнализирует о том, что практики безопасности целевой организации могут быть недостаточно строгими».
По его словам, в среднем организациям требуется около 60 дней для применения исправлений. Тем временем злоумышленники создают и используют эксплойты всего за часы или дни. Этот разрыв создает удобное окно, когда необновленные системы становятся простыми мишенями. Кроме того, системы, страдающие от уязвимостей старше года, вряд ли являются изолированными случаями в рамках хорошо управляемого плана по управлению уязвимостями.
«Злоумышленники уделяют пристальное внимание тому, как быстро применяются исправления», — сказал он. «Когда известное исправление не используется широко, это демонстрирует нечто большее, чем просто подверженность риску. Это может указывать на плохое отслеживание систем, слабые процессы установки патчей или другие приоритеты, отвлекающие внимание от безопасности. Эти проблемы часто означают наличие и других слабых мест, помимо одной уязвимости».
Муди предупредил, что организации должны рассматривать медленное применение исправлений как очевидный риск, а не просто как очередную задачу, ожидающую выполнения. Для улучшения ситуации необходимо более качественное отслеживание систем, четкие сроки установки патчей и обеспечение того, чтобы исправления действительно применялись, а не только планировались.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
