CVE-2023-21839: เจาะลึกช่องโหว่สำคัญใน Oracle WebLogic

tunz@cyberdefense.co.th

January 18, 2024

Oracle WebLogic เป็นแพลตฟอร์มการจัดการ Java ระดับองค์กรที่ใช้เพื่อจัดการ ปรับใช้ และแจกจ่ายแอปพลิเคชัน Java ขนาดใหญ่ ใช้สำหรับการปรับใช้และการจัดการทั้งในสถานที่และระบบคลาวด์ ช่วยอำนวยความสะดวกในการสื่อสารระหว่างบริการแบบกระจายและดูเเลรักษาความปลอดภัยกับทั้งระบบแบบกระจายขนาดใหญ่

ปีนี้พบช่องโหว่ที่มีชื่อว่า CVE-2023-21839 ใน Oracle WebLogic ซึ่งช่วยให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถโหลดและเรียกใช้โค้ดที่กำหนดเองบนโฮสต์เซิร์ฟเวอร์ได้ เราจะกล่าวถึงแนวคิดหลักบางส่วนที่ใช้เพื่อทำให้ช่องโหว่นี้เป็นไปได้ รวมถึงวิธีที่ RidgeBot ตรวจจับและหาประโยชน์จากช่องโหว่ดังกล่าว

เพื่อใช้ประโยชน์จากช่องโหว่นี้ มีบริการสองสามอย่างที่เราต้องตั้งค่าจากฝั่งของเรา ก่อนอื่นเราจะเริ่มต้นเซิร์ฟเวอร์ LDAP ของเราเองซึ่งจะโฮสต์ไฟล์ Java ที่เป็นอันตรายเพื่อให้เซิร์ฟเวอร์ WebLogic ได้รับ เซิร์ฟเวอร์ LDAP มีไว้เพื่อโฮสต์ข้อมูลDirectoryสำหรับบริการ ในกรณีนี้ มันจะเก็บออบเจ็กต์ Java ที่ WebLogic จะใช้เพื่อรับข้อมูลDirectory ซึ่งจะทำให้โค้ดช่องโหว่ของเราถูกรัน นอกจากนี้เรายังจะตั้งค่าผู้ควบคุมทางระยะไกลของเราเองซึ่งจะใช้ในการออกคำสั่งไปยังเครื่องโฮสต์เมื่อเราเข้าถึงเซิร์ฟเวอร์แล้ว

เพื่อให้เป้าหมายของเราเรียกใช้โค้ดที่เป็นอันตราย เราจำเป็นต้องแจ้งให้มันทราบเกี่ยวกับเซิร์ฟเวอร์ LDAP และให้มันทำการค้นหาไดเรกทอรี คำขอนี้ดำเนินการโดยใช้โปรโตคอลพิเศษที่ WebLogic ใช้เมื่อสื่อสารกับบริการต่างๆ ที่ WebLogic จัดการ หลังจากที่เราสื่อสารกับมันผ่านโปรโตคอลนี้ WebLogic จะได้รับโค้ด Java ที่เป็นอันตรายจากเซิร์ฟเวอร์ LDAP ของเรา ซึ่งจะถูกดำเนินการ

รูปที่ 1: ลำดับเวลาของวิธีที่ RidgeBot ดำเนินการหาประโยชน์เพื่อเข้าควบคุม Oracle WebLogic

RidgeBot มอบการทดสอบการเจาะระบบอัตโนมัติขั้นสูงให้กับองค์กรของคุณ ช่องโหว่มีอยู่ทุกที่และการไม่หยุดยั้งในการรักษาความปลอดภัยของเครือข่ายนั้นเป็นสิ่งสำคัญยิ่ง RidgeBot ใช้ประโยชน์จากไลบรารีช่องโหว่ขนาดใหญ่ ซึ่งมีการขยายตัวอย่างต่อเนื่อง ทำให้มีจุดเด่นในการตรวจจับ สแกน และการโจมตีช่องโหว่ที่เป็นอันตราย ซึ่งอาจส่งผลต่อการดำเนินธุรกิจของคุณ

รูปที่ 2: RidgeBot ได้พิมพ์ลายนิ้วมืออินสแตนซ์ที่มีช่องโหว่ของ Oracle WebLogic

RidgeBot สามารถสแกนและใช้ประโยชน์จากจุดอ่อนที่อาจเกิดขึ้นมากมายในเครือข่ายขององค์กร ขณะนี้มีความสามารถในการสแกนและใช้ประโยชน์จากช่องโหว่นี้ใน Oracle WebLogic และสามารถจัดทำบันทึกโดยละเอียดเกี่ยวกับวิธีการหาประโยชน์จากช่องโหว่นี้ และตำแหน่งที่อยู่ในองค์กร RidgeBot จะสแกนหาอินสแตนซ์ WebLogic ที่มีช่องโหว่ที่ทำงานอยู่โดยอัตโนมัติ และจะตั้งค่าเซิร์ฟเวอร์ LDAP ของตัวเองและตัวฟังเชลล์ระยะไกลเพื่อดำเนินการหาช่องโหว่ที่พบใน CVE-2023-21839 ได้อย่างปลอดภัย

รูปที่ 3: RidgeBot แสดงรายละเอียดเกี่ยวกับข้อมูลที่ละเอียดที่ได้รับจากการใช้ประโยชน์จาก Oracle WebLogic

RidgeBot แสดงให้คุณเห็นแบบเรียลไทม์ว่ากำลังทำอะไร สิ่งที่พบ และรายละเอียดที่สามารถรวบรวมเกี่ยวกับระบบที่มีช่องโหว่ของคุณ ในกรณีนี้ จะให้รายละเอียดเกี่ยวกับโจมตีหรือควบคุมระยะไกลที่สามารถเปิดบนเครื่องเป้าหมายได้ สิ่งนี้ทำหน้าที่ทั้งในการแจ้งและให้หลักฐานเกี่ยวกับการแสวงหาประโยชน์และอันตรายที่อาจเกิดขึ้นกับเครือข่ายเป้าหมาย

รูปที่ 4: RidgeBot ให้หลักฐานการแสวงหาผลประโยชน์ นี่คือภาพหน้าจอของคำสั่งคอนโซลบางคำสั่งที่ RidgeBot ทำงานบนเครื่องที่ถูกโจมตี

ตรวจสอบให้แน่ใจว่าองค์กรของคุณทันสมัยและปลอดภัยจากความเสี่ยงทางไซเบอร์ที่อาจเกิดขึ้น เช่น ช่องโหว่ของ Oracle WebLogic หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ RidgeBot และสิ่งอื่นๆที่คุณสนใจสามารถ

เพิ่มเติมได้ที่นี่ https://ridgesecurity.ai/about-us/

เเหล่งอ้างอิง CVE-2023-21839: Exploring Oracle WebLogic’s

Medical Assistant

tunz@cyberdefense.co.th