Defecto crítico de Oracle WebLogic

Iniciado por Dragora, Octubre 30, 2020, 08:03:55 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Octubre 30, 2020, 08:03:55 PM Ultima modificación: Octubre 30, 2020, 08:55:49 PM por Dragora

Los autores de amenazas han comenzado a buscar servidores que ejecutan instancias de Oracle WebLogic vulnerables a una falla crítica que permite tomar el control del sistema con poco esfuerzo y sin autenticación.

La vulnerabilidad aprovechada en los ataques es CVE-2020-14882 con una calificación de gravedad de 9,8 sobre 10 que permite comprometer los sistemas a través de una simple solicitud HTTP GET.

Oracle corrigió la vulnerabilidad en el lanzamiento de Critical Patch Update ( CPU ) de este mes , acreditando al investigador de seguridad Voidfyoo de Chaitin Security Research Lab por encontrarla y reportarla.

Los honeypots establecidos por el Instituto de Tecnología SANS detectaron los ataques poco después de que surgiera en el espacio público el código de explotación para CVE-2020-14882. Las versiones vulnerables de Oracle WebLogic Server son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.

En un aviso de hoy, Johannes Ullrich, Decano de Investigación de SANS, dice que los intentos de explotación de los honeypots provienen de las siguientes direcciones IP:

- 114.243.211.182 - asignado a China Unicom
- 139.162.33.228 - asignado a Linode (EE. UU.)
- 185.225.19.240 - asignado a MivoCloud (Moldavia)
- 84.17.37.239 - asignado a DataCamp Ltd (Hong Kong)

La mayoría de ellos son solo objetivos de ping, pero el de MivoCloud intenta ejecutar el comando "cmd / c", que ejecuta el comando especificado en la cadena y luego termina.

SANS Institute está en proceso de alertar a los proveedores de servicios de Internet correspondientes de la actividad ofensiva desde las direcciones IP anteriores.

Ullrich dice que los intentos de explotación registrados por los honeypots solo verifican si el sistema es vulnerable. SANS no puede proporcionar detalles para las solicitudes de seguimiento porque los sistemas de trampas están configurados para no responder con una respuesta correcta.

Según Ullrich, el exploit utilizado en estos ataques parece estar basado en los detalles técnicos de una publicación de blog (vietnamita) publicada ayer por el investigador de seguridad Jang.


Una búsqueda en el motor Spyse para escanear y recopilar información de reconocimiento de los activos expuestos muestra que hay más de 3000 servidores Oracle WebLogic accesibles a través de la Internet pública y potencialmente vulnerables a CVE-2020-14882.

fuente: Spyes

Los ataques observados por SANS se producen poco más de una semana después de que Oracle lanzara un parche para CVE-2020-14882. Sin embargo, esto no debería sorprender, considerando lo trivial que es explotarlo, su gravedad crítica y que el código de explotación está disponible públicamente. La aplicación del parche es actualmente la mejor solución para protegerse contra estos ataques.

Vía: Bleepingcomputer