Son inclusion dans le catalogue américain CISA des vulnérabilités exploitées connues est un avertissement aux administrateurs que des correctifs sont nécessaires maintenant.
Les ministères du gouvernement fédéral américain ont jusqu’à jeudi pour corriger une vulnérabilité de haute gravité vieille de deux ans dans Oracle WebLogic Server, qui pourrait permettre à un attaquant non authentifié d’accéder à des données critiques.
La vulnérabilité, CVE-2024-21182, a été ajoutée lundi au catalogue de vulnérabilités exploitées connues (KEV) de la Cybersecurity and Infrastructure Security Agency (CISA), donnant aux administrateurs fédéraux d’Oracle quatre jours seulement pour combler le trou.
Les versions prises en charge concernées sont 12.2.1.4.0 et 14.1.1.0.0.
Bien que le KEV soit destiné aux ministères fédéraux américains, l’inclusion d’une vulnérabilité sur la liste doit également être considérée comme un avertissement pour le secteur privé.
Au moment de sa découverte, cette vulnérabilité était notée 7,3 sur l’échelle CVSS, loin de la note 9+ que de nombreux professionnels de la sécurité de l’information considéreraient comme signalant un besoin d’attention immédiate.
Cependant, Robert Enderle, consultant à la tête du groupe Enderle, a déclaré que l’inclusion de cette vulnérabilité dans le KEV signifie désormais que la CISA a récemment confirmé que les acteurs malveillants l’utilisent activement comme arme.
« Faire le CISA KEV signifie que nous assistons à des exploitations actives », a reconnu Tyler Reguly, directeur associé de la R&D en matière de sécurité chez Fortra. « Étant donné que ce CVE a été corrigé par Oracle lors de la mise à jour critique (CPU) de juillet 2024, je m’attendrais à ce que la plupart des administrateurs l’aient déjà corrigé, d’autant plus qu’il s’agit d’une vulnérabilité WebLogic et, avant l’ajout de ce CVE, il y avait déjà une douzaine de vulnérabilités WebLogic répertoriées dans le catalogue KEV.
Vulnes plus anciennes sous exploitation
Reguly a également observé la rapidité avec laquelle les vulnérabilités sont ajoutées au KEV. Sur la base d’un examen rapide, il a estimé que seulement 41 % environ des CVE de la liste avaient été ajoutés au cours de l’année même de leur publication. En regardant l’année de sortie + 1, cela monte à environ 58 %. Cela signifie néanmoins que, étonnamment, plus de 40 % des CVE ajoutés au catalogue CISA KEV le sont deux ans ou plus après leur publication. « Je suppose qu’il est logique que ce problème (le trou d’Oracle vieux de deux ans) fasse son apparition maintenant, si l’on considère qu’une organisation qui n’a pas mis à jour ses systèmes depuis plusieurs années est probablement une cible plus facile qu’une organisation qui applique régulièrement des correctifs. Après tout, l’application régulière de correctifs implique probablement un environnement plus soucieux de la sécurité. »
Interrogé sur les raisons pour lesquelles cette vulnérabilité a été ajoutée deux ans après sa découverte, un porte-parole de la CISA a fait référence à la page Web du département expliquant les critères d’inclusion des bogues dans le catalogue, qui indique que la liste est constituée de vulnérabilités qui ont été exploitées dans la nature. Le porte-parole n’a pas répondu à une question sur le nombre de serveurs fédéraux qui n’étaient toujours pas corrigés après si longtemps.
Oracle WebLogic Server est une plateforme unifiée et extensible permettant de développer, de déployer et d’exécuter des applications d’entreprise en Java, sur site et dans le cloud. Il est entièrement pris en charge sur Kubernetes et permet aux utilisateurs de migrer et de créer efficacement des applications de conteneurs modernes avec des services Java complets. En bref, il s’agit d’un middleware essentiel capable d’héberger des données d’entreprise sensibles.
Il n’est pas surprenant que les acteurs malveillants soient désireux d’exploiter toute vulnérabilité de ce type. En 2019, il a été signalé que des acteurs malveillants recherchaient des serveurs WebLogic vulnérables à une nouvelle méthode de contournement des protections qu’Oracle avait corrigée l’année précédente.
Plus tôt cette année, la société de sécurité CloudSek a mis en place un pot de miel pour étudier la réponse des acteurs malveillants à une vulnérabilité d’exécution de code à distance de WebLogic Server récemment découverte et extrêmement grave, CVE-2026-21962, avec un score CVSS de 10, ainsi que leur intérêt pour les failles plus anciennes. Sur une période de 12 jours, des tentatives d’attaque ciblant la nouvelle faille de type zéro jour ont été observées immédiatement après la publication publique de son code d’exploitation, « démontrant la militarisation rapide des vulnérabilités critiques d’Oracle WebLogic ».
Les attaquants ont également tenté d’exploiter une faille signalée en 2017 et deux vulnérabilités de 2020 dans le serveur honeypot non corrigé créé par CloudSek.
La lenteur des correctifs constitue un « risque évident »
Compte tenu de l’importance des produits Oracle pour les grandes entreprises, la société est récemment passée d’un cycle de publication de correctifs de sécurité mensuel à un cycle trimestriel. Le premier de ces correctifs a été publié lundi.
L’ajout récent de la vulnérabilité WebLogic au KEV illustre un problème courant concernant la façon dont de nombreuses organisations gèrent la sécurité, a déclaré Gene Moody, directeur technique sur le terrain chez Action1. « Le problème n’est pas seulement la vulnérabilité elle-même. Le plus gros problème est le délai entre le moment où un correctif est publié et le moment où il est réellement appliqué aux systèmes réels. Ce délai donne aux attaquants une chance d’agir, tout en signalant également que les pratiques de sécurité de l’organisation cible peuvent être sous-appliquées. «
Il faut en moyenne environ 60 jours aux organisations pour appliquer les correctifs, a-t-il souligné. Pendant ce temps, les attaquants créent et utilisent des exploits en quelques heures ou jours seulement. Cette lacune crée une fenêtre pratique où les systèmes non corrigés deviennent de simples cibles, a-t-il souligné. De plus, les systèmes souffrant de vulnérabilités datant de plus d’un an ne sont probablement pas des silos dans un plan de gestion des vulnérabilités par ailleurs bien géré.
« Les attaquants prêtent une attention particulière à la rapidité avec laquelle les correctifs sont appliqués », a-t-il déclaré. « Lorsqu’un correctif bien connu n’est pas largement utilisé, il démontre plus qu’une simple exposition. Il peut indiquer un mauvais suivi du système, des processus de correctifs faibles ou d’autres priorités détournant l’attention de la sécurité. Ces problèmes signifient souvent qu’il existe davantage de faiblesses au-delà d’une seule vulnérabilité. «
Les organisations devraient considérer la lenteur de l’application des correctifs comme un risque évident, a prévenu Moody, et non comme une tâche de plus en attente d’être accomplie. Pour améliorer la situation, il faut un meilleur suivi des systèmes, des délais de mise à jour clairs et s’assurer que les correctifs sont réellement appliqués, et pas seulement planifiés.
