Oracle vừa phát hành bản vá khẩn cấp (CPU) tháng 10 năm 2024, khắc phục 329 lỗ hổng trên nhiều sản phẩm. Những lỗ hổng này có thể dẫn đến việc chiếm quyền hệ thống, vi phạm dữ liệu và các cuộc tấn công Từ chối dịch vụ (DoS).

Lỗ hổng nguy hiểm nhất, CVE-2024-21216, có điểm đánh giá CVSS 9.8, cho phép kẻ tấn công khai thác hệ thống từ xa mà không cần xác thực thông qua các giao thức T3 hoặc IIOP. Nếu khai thác thành công, kẻ tấn công có thể kiểm soát hoàn toàn máy chủ, dẫn đến rò rỉ dữ liệu và gián đoạn hoạt động.

Lỗ hổng này cho phép chiếm quyền điều khiển máy chủ từ xa mà không cần xác thực. Ảnh hưởng đến quyền truy cập mạng thông qua các giao thức T3 và IIOP và cho phép tin tặc giành quyền kiểm soát hoàn toàn WebLogic Server. Qua đó, có thể dẫn đến việc rò rỉ dữ liệu, gián đoạn hoạt động, gây ra nguy cơ lớn cho các hệ thống bị ảnh hưởng.

Các phiên bản bị ảnh hưởng bao gồm WebLogic Server 12.2.1.4.0 và 14.1.1.0.0. Ngoài ra, còn có bốn lỗ hổng khác (CVE-2024-21274, CVE-2024-21215, CVE-2024-21234 và CVE-2024-21260), điểm CVSS 7.5, có thể gây ra tình trạng Từ chối dịch vụ hoặc truy cập trái phép vào dữ liệu quan trọng.

Giao thức T3 và IIOP thường được bật theo mặc định trong WebLogic, cho phép kẻ tấn công không xác thực với quyền truy cập mạng qua T3/IIOP tiết lộ thông tin nhạy cảm. Lỗ hổng này tồn tại do lỗ hổng trong việc triển khai giao thức T3/IIOP, có khả năng cho phép kẻ tấn công truy cập trái phép vào dữ liệu bí mật hoặc xâm nhập toàn bộ máy chủ.

Oracle đã nhanh chóng phát hành các bản vá để giải quyết các lỗ hổng này. Các chuyên gia khuyến cáo người dùng cài đặt bán vá ngay lập tức, đặc biệt đối với các phiên bản WebLogic bị lộ giao thức T3 và IIOP để bảo vệ hệ thống. 

Nếu không thể áp dụng bản vá ngay, các chuyên gia đề xuất các biện pháp tạm thời như giới hạn quyền truy cập giao thức T3 cho các nguồn tin cậy hoặc vô hiệu hóa nếu không cần thiết; Tắt giao thức IIOP trừ khi cần thiết cho chức năng ứng dụng.

Nguồn: VSEC tổng hợp