تحذير CISA بشأن WebLogic يحول تأخر تصحيحات Oracle إلى اختبار تعرض
أمرت CISA الوكالات الفيدرالية الأمريكية بتأمين أنظمة Oracle WebLogic Server المتأثرة بالثغرة CVE-2024-21182 بعد رصد استغلال نشط. ترصد Shodan أكثر من 1,592 خادماً مكشوفاً ومعرضاً للثغرة، منها 961 تعمل بالإصدار 12.2.1.4.0 و631 تعمل بالإصدار 14.1.1.0.0. الاختبار الفوري هو ما إذا كانت الجهات العامة والخاصة ستطبق إصلاحات Oracle أو تزيل الأنظمة المكشوفة عندما لا تتوفر وسائل تخفيف.
تحذير استغلال Oracle WebLogic يعيد التركيز إلى انضباط التصحيح
أمرت CISA الوكالات الفيدرالية الأمريكية بتأمين أنظمة Oracle WebLogic Server ضد الثغرة CVE-2024-21182، وهي ثغرة عالية الخطورة عالجتها Oracle في يوليو 2024 وأصبحت الآن مستغلة بنشاط في هجمات. تتأثر الإصدارات 12.2.1.4.0 و14.1.1.0.0. ويمكن للمهاجمين استغلال الثغرة عن بُعد ومن دون امتيازات في هجمات منخفضة التعقيد ضد Oracle WebLogic Server.
قالت Oracle في تنبيه يوليو 2024 إن مهاجماً غير مصرح له يملك وصولاً شبكياً عبر T3 وIIOP يمكنه اختراق Oracle WebLogic Server. وحذرت Oracle من أن الاستغلال الناجح قد يكشف بيانات حرجة أو بيانات أخرى يمكن الوصول إليها عبر نسخة WebLogic Server المتأثرة.
الإشارة التشغيلية فورية لأن الثغرة وُضعت في كتالوج CISA للثغرات المستغلة. وطُلب من الوكالات الفيدرالية تصحيح خوادم WebLogic المتأثرة بحلول منتصف ليل الخميس 4 يونيو. وقالت CISA إن هذا النوع من الثغرات يمثل مساراً متكرراً للنشاط السيبراني الخبيث ومخاطرة على الأنظمة الفيدرالية، ما يجعل الموعد أكثر من مجرد علامة امتثال روتينية.
الخوادم المكشوفة ترفع مخاطر المؤسسات
ترصد Shodan أكثر من 1,592 خادماً من Oracle WebLogic مكشوفاً على الإنترنت ومعرضاً لاستغلال CVE-2024-21182. ويتوزع العدد إلى 961 على الإصدار 12.2.1.4.0 و631 على الإصدار 14.1.1.0.0. يمنح هذا التعرض فرق الأمن إشارة جرد ملموسة، وليس مجرد موعد تنظيمي للتصحيح.
ينطبق Binding Operational Directive (BOD) 22-01 على الوكالات الفيدرالية، لكن CISA حثت أيضاً جميع المدافعين عن الشبكات، بمن فيهم فرق القطاع الخاص، على تصحيح أنظمتهم ضد هجمات CVE-2024-21182 الجارية في أقرب وقت ممكن. ووجهت الوكالة المدافعين إلى تخفيفات المورّد، وإرشادات BOD 22-01 ذات الصلة بالخدمات السحابية، أو وقف استخدام المنتج عندما لا تتوفر وسيلة تخفيف.
بالنسبة إلى المؤسسات، فإن إجراء التحكم العملي مباشر: تأكيد ما إذا كانت إصدارات WebLogic 12.2.1.4.0 أو 14.1.1.0.0 مكشوفة، وتطبيق إصلاحات Oracle أو إجراءات التخفيف، وإزالة التعرض غير المدعوم عندما لا تكون التخفيفات متاحة.
ثغرات Oracle تبقى على قائمة KEV
أشارت CISA خلال السنوات الأخيرة إلى 43 ثغرة عبر منتجات Oracle بوصفها مستغلة في الواقع العملي، منها 12 استُخدمت في هجمات فدية. ويأتي إدراج WebLogic الجديد بعد أمر صدر في أكتوبر بشأن ثغرة server-side request forgery (SSRF) في Oracle E-Business Suite، وبعد تحديث أمني خارج الجدول أصدرته Oracle في مارس لمعالجة ثغرة حرجة لتنفيذ التعليمات البرمجية عن بُعد من دون مصادقة في Identity Manager وWeb Services Manager.
الإشارة التالية هي ما إذا كانت المؤسسات خارج الموعد الفيدرالي ستخفض عدد مثيلات WebLogic المكشوفة قبل أن يوسع المهاجمون الاستغلال إلى ما يتجاوز النشاط المرصود بالفعل.
