Oracle là gì?
Oracle là một hệ thống quản trị Database, viết tắt là RDBMS- Relational Database Management System. Người dùng có thể sử dụng Oracle để quản lý ứng dụng và database. Đây là giải pháp hàng đầu được rất nhiều đơn vị lựa chọn để tiết kiệm chi phí, nâng cao hiệu quả quản lý. Oracle cho phép tương tác với Database thông qua một ngôn ngữ SQL.
Một số phiên bản
- Standard One: phù hợp với các đơn vị/ ứng dụng sử dụng một server. Đây là phiên bản có các tính năng còn bị hạn chế.
- Standard: đây là bản nâng cấp hơn so với phiên bản Standard One, phù hợp với các đơn vị có hệ thống máy chủ lớn hơn.
- Enterprise: có một số tính năng hiện đại như tính năng bảo mật, tính toán hiệu suất, mở rộng phiên bản,…Phù hợp với các ứng dụng liên quan tới vấn đề giao dịch online, yêu cầu tính bảo mật cao.
- Express: đây là phiên bản miễn phí, cho phép người dùng có thể tải về, sử dụng, triển khai và quản lý hệ thống.
- Personal: đây là phiên bản có các tính năng giống Enterprise nhưng được bỏ đi tính năng Oracle Real Application Cluster.
Oracle Weblogic Server
Oracle Weblogic Server là máy chủ ứng dụng hàng đầu trong ngành, được sử dụng để xây dựng và triển khai các ứng dụng doanh nghiệp Java EE, hỗ trợ các tính năng mới nhằm giảm chi phí vận hành, cải thiện hiệu suất, tăng cường khả năng mở rộng và hỗ trợ danh mục ứng dụng của Oracle
Tổng quan về Oracle Weblogic Server
Oracle Weblogic Server cung cấp nền tảng phát triển hiện đại cho việc xây dựng ứng dụng, nền tảng runtime cho hiệu suất và độ sẵn sàng cao, công cụ quản lý phong phú cho hoạt động hiệu quả với chi phí thấp. Với việc hỗ trợ đầy đủ Java EE 7, Weblogic Server cung cấp các API tiêu chuẩn để tạo các ứng dụng phân tán, truy cập vào các dịch vụ như cơ sở dữ liệu, dịch vụ nhắn tin và kết nối đến các hệ thống doanh nghiệp bên ngoài.
Đối với hạ tầng Weblogic Server hỗ trợ triển khai nhiều loại ứng dụng phân tán và là nền tảng lý tưởng để xây dựng ứng dụng dựa trên kiến trúc hướng dịch vụ (SOA). Ngoài ra, nó còn cung cấp môi trường triển khai ứng dụng quan trọng với độ cao an toàn, khả năng mở rộng và tính sẵn sàng vượt trội.
Về mô hình lập trình thì Weblogic Server hỗ trợ đầy đủ nền tảng Java EE 7, giúp đơn giản hóa phát triển ứng dụng doanh nghiệp qua mô hình lập trình, API, và môi trường runtime. Các tính năng bao gồm hỗ trợ triển khai các web động (servlets, JSP) và nội dung tĩnh (HTML, hình ảnh), chia sẻ các chức năng qua mạng, thành phần thiết yếu của ứng dụng phân tán,…
Cảnh báo lỗ hổng Oracle Weblogic CVE-2024-21216 cho phép chiếm quyền kiểm soát hệ thống từ xa
Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC), Cục An toàn thông tin cảnh báo về lỗ hổng Oracle Weblogic CVE-2024-21216 cho phép chiếm quyền kiểm soát hệ thống từ xa nhắm vào các chuyên gia kinh tế nhằm cung cấp thêm thông tin cần thiết để quản trị viên cũng như người dùng có thể thực hiện các biện pháp bảo mật một cách kịp thời và hiệu quả.
Oracle vừa phát hành Bản cập nhật bảo mật quan trọng tháng 10/2024, giải quyết 329 lỗ hổng trong nhiều sản phẩm của hãng. Đáng chú ý nhất là 5 lỗ hổng nghiêm trọng trong thành phần Core của Oracle Weblogic Server, một nền tảng máy chủ ứng dụng Java phổ biến. Trong số đó, CVE-2024-21216 là lỗ hổng nguy hiểm nhất với mức CVSS 9.8, cho phép kẻ tấn công từ xa khai thác mà không cần xác thực, dẫn đến việc chiếm quyền kiểm soát hoàn toàn hệ thống.
CVE-2024-21216 (CVSS 9.8) là lỗ hổng nghiêm trọng nhất trong số các lỗ hổng được phát hiện. Lỗ hổng này cho phép kẻ tấn công không xác thực khai thác từ xa thông qua các giao thức T3 và IIOP (được kích hoạt mặc định trên Weblogic). Kết quả là, kẻ tấn công có thể chiếm toàn quyền kiểm soát máy chủ mà không cần tương tác từ người dùng.
Ngoài CVE-2024-21216, các lỗ hổng khác có mức CVSS 7.5 bao gồm CVE-2024-21274, CVE-2024-21215, CVE-2024-21234 và CVE-2024-21260 cũng ảnh hưởng đến các phiên bản Oracle Weblogic Server 12.2.1.4.0 và 14.1.1.0.0. Những lỗ hổng này có thể dẫn đến tấn công từ chối dịch vụ (DoS) hoặc truy cập trái phép vào dữ liệu nhạy cảm.
Phương thức khai thác
Lỗ hổng này bắt nguồn từ việc Oracle Weblogic Server cho phép truy cập qua các giao thức T3 và IIOP (Internet Inter-ORB Protocol) mà không cần xác thực. Đây là các giao thức dùng để giao tiếp giữa WebLogic và các ứng dụng Java khác, và chúng thường được bật mặc định trong cài đặt WebLogic. Kẻ tấn công chỉ cần có quyền truy cập mạng tới máy chủ WebLogic đang chạy, và thông qua các giao thức này, họ có thể gửi các yêu cầu độc hại từ xa và xâm chiếm quyền kiểm soát toàn bộ máy chủ mà không cần người dùng can thiệp hay xác thực.
Bước khai thác
- Xác định hệ thống dễ bị tấn công: Kẻ tấn công có thể quét các máy chủ WebLogic công khai trên internet để phát hiện những hệ thống có các giao thức T3 hoặc IIOP được bật.
- Gửi yêu cầu độc hại: Sau khi xác định được hệ thống dễ bị tấn công, kẻ tấn công sẽ gửi một chuỗi các yêu cầu qua các giao thức T3 hoặc IIOP. Các yêu cầu này có thể khai thác lỗ hổng trong WebLogic Server, cho phép chúng truy cập mà không cần xác thực.
- Chiếm quyền kiểm soát hệ thống: Nếu khai thác thành công, kẻ tấn công có thể chiếm quyền root hoặc quyền quản trị cao nhất trên máy chủ, cho phép chúng thực hiện bất kỳ hành động nào trên hệ thống, bao gồm việc thay đổi, xóa dữ liệu, cài đặt phần mềm độc hại hoặc sử dụng máy chủ để thực hiện các cuộc tấn công tiếp theo.
Điều kiện khai thác
Lỗ hổng này không yêu cầu bất kỳ thông tin xác thực nào và cũng không cần người dùng tương tác. Điều kiện duy nhất là kẻ tấn công phải có quyền truy cập tới mạng của máy chủ WebLogic. Vì các giao thức T3 và IIOP thường được bật mặc định trên các cài đặt WebLogic, điều này khiến nhiều hệ thống trở thành mục tiêu dễ bị tấn công.
Khuyến nghị
Oracle đã phát hành bản vá cho lỗ hổng này trong bản cập nhật bảo mật tháng 10/2024. Các quản trị viên hệ thống được khuyến cáo:
- Cập nhật hệ thống WebLogic Server lên phiên bản mới nhất ngay lập tức để khắc phục lỗ hổng.
- Vô hiệu hóa hoặc bảo mật các giao thức T3/IIOP nếu chúng không cần thiết hoặc giới hạn quyền truy cập đối với các giao thức này trong mạng an toàn.
- Giám sát hoạt động trên hệ thống để phát hiện sớm các hành vi khai thác lỗ hổng từ xa và ngăn chặn kịp thời.
Phiên bản bị ảnh hưởng
- Oracle WebLogic Server phiên bản 12.2.1.4.0
- Oracle WebLogic Server phiên bản 14.1.1.0.0