Defecto crítico de Oracle WebLogic

  • 0 Respuestas
  • 353 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Dragora

  • *
  • Moderador Global
  • Mensajes: 1491
  • Actividad:
    100%
  • Country: gt
  • Reputación 17
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil

Defecto crítico de Oracle WebLogic

  • en: Octubre 30, 2020, 08:03:55 pm

Los autores de amenazas han comenzado a buscar servidores que ejecutan instancias de Oracle WebLogic vulnerables a una falla crítica que permite tomar el control del sistema con poco esfuerzo y sin autenticación.

La vulnerabilidad aprovechada en los ataques es CVE-2020-14882 con una calificación de gravedad de 9,8 sobre 10 que permite comprometer los sistemas a través de una simple solicitud HTTP GET.

Oracle corrigió la vulnerabilidad en el lanzamiento de Critical Patch Update ( CPU ) de este mes , acreditando al investigador de seguridad Voidfyoo de Chaitin Security Research Lab por encontrarla y reportarla.

Los honeypots establecidos por el Instituto de Tecnología SANS detectaron los ataques poco después de que surgiera en el espacio público el código de explotación para CVE-2020-14882. Las versiones vulnerables de Oracle WebLogic Server son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.

En un aviso de hoy, Johannes Ullrich, Decano de Investigación de SANS, dice que los intentos de explotación de los honeypots provienen de las siguientes direcciones IP:

- 114.243.211.182 - asignado a China Unicom
- 139.162.33.228 - asignado a Linode (EE. UU.)
- 185.225.19.240 - asignado a MivoCloud (Moldavia)
- 84.17.37.239 - asignado a DataCamp Ltd (Hong Kong)

La mayoría de ellos son solo objetivos de ping, pero el de MivoCloud intenta ejecutar el comando "cmd / c", que ejecuta el comando especificado en la cadena y luego termina.

SANS Institute está en proceso de alertar a los proveedores de servicios de Internet correspondientes de la actividad ofensiva desde las direcciones IP anteriores.

Ullrich dice que los intentos de explotación registrados por los honeypots solo verifican si el sistema es vulnerable. SANS no puede proporcionar detalles para las solicitudes de seguimiento porque los sistemas de trampas están configurados para no responder con una respuesta correcta.

Según Ullrich, el exploit utilizado en estos ataques parece estar basado en los detalles técnicos de una publicación de blog (vietnamita) publicada ayer por el investigador de seguridad Jang.


Una búsqueda en el motor Spyse para escanear y recopilar información de reconocimiento de los activos expuestos muestra que hay más de 3000 servidores Oracle WebLogic accesibles a través de la Internet pública y potencialmente vulnerables a CVE-2020-14882.

fuente: Spyes

Los ataques observados por SANS se producen poco más de una semana después de que Oracle lanzara un parche para CVE-2020-14882. Sin embargo, esto no debería sorprender, considerando lo trivial que es explotarlo, su gravedad crítica y que el código de explotación está disponible públicamente. La aplicación del parche es actualmente la mejor solución para protegerse contra estos ataques.

Vía: Bleepingcomputer
« Última modificación: Octubre 30, 2020, 08:55:49 pm por Dragora »

 

Multi-Account Containers: nueva extensión incluida por defecto en Firefox 75

Iniciado por Dragora

Respuestas: 0
Vistas: 1015
Último mensaje Febrero 22, 2020, 11:59:29 pm
por Dragora
Firefox 72 impedirá por defecto que los sitios web puedan seguir nuestro rastro

Iniciado por Dragora

Respuestas: 0
Vistas: 254
Último mensaje Noviembre 29, 2019, 10:50:44 am
por Dragora
Apache Tomcat parches importante defecto de ejecución de código remoto

Iniciado por Dragora

Respuestas: 0
Vistas: 1387
Último mensaje Abril 17, 2019, 03:03:28 pm
por Dragora
Explotación de PoC para el defecto de cero días de Windows 10 sin parches

Iniciado por Dragora

Respuestas: 0
Vistas: 1082
Último mensaje Mayo 22, 2019, 01:13:54 pm
por Dragora
Kali Linux pone fin a la ejecución permanente de root por defecto

Iniciado por Ruleman

Respuestas: 0
Vistas: 568
Último mensaje Enero 10, 2020, 06:43:51 pm
por Ruleman