Oracle veröffentlicht außerplanmäßiges Update für WebLogic-Server

Oracle hat ein außerplanmäßiges Sicherheitsupdate für WebLogic-Server veröffentlicht. Es soll einen offenbar unvollständigen Patch korrigieren, mit dem das Unternehmen eigentlich schon im Oktober eine öffentlich bekannte Schwachstelle beseitigen wollte. Sie wird bereits aktiv für Hackerangriffe ausgenutzt.

Der neue Patch mit der Kennung CVE-2020-14750 liefert zusätzliche Fixes für einen anderen Bug (CVE-2020-14882). Den hatte Oracle mit seinem Oktober-Patchday bereitgestellt – das Unternehmen veröffentlicht nur all drei Monate Sicherheitsupdates.

Die ursprüngliche Anfälligkeit erlaubt es einem Angreifer, Schadcode einzuschleusen und auf einem WebLogic-Server auszuführen. Dies funktioniert aus der Ferne, ohne Authentifizierung und mit erweiterten Nutzerrechten. Die Schwachstelle lässt sich mit einer speziell gestalteten HTTP-GET-Anfrage ausnutzen, die an die Management-Konsole des Servers gerichtet ist.

Offenbar kann die Anfälligkeit mit einem geringen Aufwand für Hackerangriffe benutzt werden. Das legen mehrere Beispiel-Exploits nahe, die innerhalb weniger Tage nach Bekanntwerden der Lücke veröffentlicht wurden. Das Sans Institute meldete zudem in der vergangenen Woche mehre Angriffe auf WebLogic-Honeypots.

Der Sicherheitsforscher Adam Boileau von Insomnia Sec fand indes heraus, dass sich der Patch für CVE-2020-14882 ohne viel Mühe aushebeln lässt. Er änderte lediglich ein Zeichen in Code eines Beispiel-Exploits. Diese neue Schwachstelle sowie die zunehmend Zahl von Angriffen auf WebLogic-Server veranlasste Oracle schließlich, einen neuen Fix zu entwickeln und ihn vor dem nächsten geplanten Patchday im Januar zu verteilen.

Betroffene Unternehmen sollten nun unverzüglich neben dem Patch für CVE-2020-14882 auch das neue Update einspielen. Laut dem Sicherheitsanbieter Spyse gibt es derzeit mehr als 3300 WebLogic-Server, die über das Internet angreifbar sind, weil CVE-2020-14882 noch nicht geschlossen wurde.