Vulnerabilidad crítica de Oracle WebLogic explotada en la naturaleza

Los amenazadores han comenzado a buscar servidores que ejecuten instancias de Oracle WebLogic vulnerables a una falla crítica que les permita tomar el control del sistema con poco esfuerzo y sin autenticación.

La vulnerabilidad explotada en los ataques es CVE-2020-14882 con un índice de gravedad de 9,8 sobre 10 que permite que los sistemas se vean comprometidos a través de una simple solicitud HTTP GET.

Buscando metas

Oracle solucionó la vulnerabilidad en el lanzamiento de este mes de Critical Patch Update (procesador), investigador acreditado en seguridad Voidfyoo por Chaitin Security Research Lab para encontrarlo y reportarlo.

Los honeypots creados por el Instituto de Tecnología SANS detectaron los ataques poco después de que el código de explotación para CVE-2020-14882 surgiera en el espacio público. Las versiones vulnerables de Oracle WebLogic Server son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.

En un aviso de hoy, Johannes Ullrich, Decano de Investigación de SANS, dice que los intentos de explotación en honeypots provienen de las siguientes direcciones IP:

  • 114.243.211.182 - asignado a China Unicom
  • 139.162.33.228 - asignado a Linode (EE. UU.)
  • 185.225.19.240 - asignado a MivoCloud (Moldavia)
  • 84.17.37.239 - vendido a DataCamp Ltd (Hong Kong)

La mayoría de ellos son solo objetivos de ping, pero el de MivoCloud intenta ejecutar el comando "cmd / c", que ejecuta el comando especificado en la cadena y luego termina.

El Instituto SANS está alertando a los proveedores de servicios de Internet correspondientes de la actividad ofensiva desde las direcciones IP anteriores.

Ullrich Él dice que los intentos de explotación registrados por honeypots solo verifican si el sistema es vulnerable. SANS no puede proporcionar detalles para las solicitudes de seguimiento porque los sistemas de trampas están configurados para no responder con una respuesta correcta.

Según Ullrich, el exploit utilizado en estos ataques parece basarse en los detalles técnicos de un archivo entrada en el blog (Vietnamita) publicado ayer por el investigador de seguridad Jang.

Una búsqueda en el motor Spyse para escanear y recopilar información de reconocimiento de los recursos expuestos muestra que hay más de 3000 servidores Oracle WebLogic accesibles en la Internet pública y potencialmente vulnerables a CVE-2020-14882.

Los ataques observados por SANS se producen poco más de una semana después de que Oracle lanzara un parche para CVE-2020-14882. Sin embargo, esto no debería ser una sorpresa, considerando lo trivial que es explotar, su gravedad crítica y el código de explotación disponible públicamente. El parche es actualmente la mejor forma de protegerse de estos ataques.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir