L’agence américaine de cybersécurité pour la sécurité des infrastructures, la CISA, a donné l’ordre aux entités gouvernementales de sécuriser leurs systèmes. Elles doivent contrer une faille de sécurité grave qui affecte Oracle WebLogic Server. Cette vulnérabilité a été corrigée il y a deux ans, mais des pirates l’utilisent actuellement pour mener des attaques.
Le produit Oracle WebLogic Server est un serveur d’applications Java. Il est conçu pour un usage professionnel et sert de composant intermédiaire pour des applications distribuées à grande échelle et à plusieurs niveaux.
Cette faille, référencée sous le code CVE-2024-21182, peut être exploitée à distance. Les attaquants n’ont pas besoin de privilèges pour lancer des opérations peu complexes. Ces attaques visent les systèmes qui exécutent les versions 12.2.1.4.0 et 14.1.1.0.0 d’Oracle WebLogic Server.
Oracle avait averti lors de la publication des correctifs en juillet 2024. L’entreprise a indiqué qu’une vulnérabilité facile à exploiter permet à un attaquant non authentifié ayant un accès réseau via T3 ou IIOP de compromettre le serveur. Des attaques réussies entraînent un accès non autorisé à des données critiques, voire à la totalité des données accessibles par le serveur.
Selon la plateforme de renseignement sur Internet Shodan, plus de 1592 serveurs Oracle WebLogic exposés en ligne sont vulnérables. Parmi eux, 961 tournent sur la version 12.2.1.4.0 et 631 utilisent la version 14.1.1.0.0.
Jeudi, la CISA a inscrit cette vulnérabilité dans son catalogue des failles exploitées activement. L’agence a fixé une date limite aux agences fédérales pour appliquer le correctif sur leurs serveurs WebLogic. Elles doivent le faire avant jeudi 4 juin à minuit, conformément à la Directive Opérationnelle Contraignante 22-01.
Cette directive ne s’applique qu’aux agences fédérales. Cependant, la CISA a vivement conseillé à tous les défenseurs de réseaux, y compris ceux du secteur privé, de corriger leurs systèmes sans tarder face aux attaques en cours.
La CISA a précisé que ce type de vulnérabilité constitue souvent un vecteur d’attaque pour les acteurs malveillants et présente des risques importants pour le parc fédéral. L’agence recommande d’appliquer les mesures d’atténuation suivant les instructions du fournisseur. Elle conseille également de suivre les directives de la BOD 22-01 pour les services cloud, ou de cesser d’utiliser le produit si aucune protection n’est disponible.
En octobre dernier, l’agence avait déjà ordonné aux services gouvernementaux de corriger une faille de type Server-Side Request Forgery (SSRF) qui ne nécessitait pas d’authentification. Cette faille, référencée sous le code CVE-2025-61884, touchait la suite Oracle E-Business. La CISA l’avait signalée comme étant exploitée activement.
En mars dernier, Oracle a publié une mise à jour de sécurité hors cycle pour corriger un gros problème. Il s’agissait d’une vulnérabilité critique permettant une exécution de code à distance sans authentification. Identifiée sous le code CVE-2026-21992, elle affectait Identity Manager et Web Services Manager. Oracle a refusé de commenter lorsque des médias spécialisés l’ont interrogé sur son éventuelle exploitation.
Ces dernières années, la CISA a répertorié 43 vulnérabilités dans différents produits Oracle. Toutes ont été exploitées dans la nature, et douze d’entre elles ont été utilisées dans des attaques de rançongiciels.