Defecto de Oracle WebLogic Server RCE bajo ataque activo - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Defecto de Oracle WebLogic Server RCE bajo ataque activo

Hola, un placer verte por aquí. Soy Eduardo Arroyo y esta vez vamos a hablar sobre Defecto de Oracle WebLogic Server RCE bajo ataque activo

Defecto de Oracle WebLogic Server RCE bajo ataque activo

La falla en el componente de la consola del servidor WebLogic, CVE-2020-14882, está bajo ataque activo, advierten los investigadores.

Si una organización no ha actualizado sus servidores Oracle WebLogic para protegerlos de una falla de RCE revelada recientemente, los investigadores tienen una advertencia terrible: «Supongamos que se ha visto comprometida».

Oracle WebLogic Server es un servidor de aplicaciones popular que se utiliza para crear e implementar aplicaciones empresariales Java EE. El componente de la consola de WebLogic Server tiene un defecto, CVE-2020-14882, que ocupa un puesto 9,8 sobre 10 en la escala CVSS. Según Oracle, el ataque es de «baja» complejidad, no requiere privilegios ni interacción del usuario y puede ser explotado por atacantes con acceso a la red a través de HTTP.

Oracle solucionó la falla en el lanzamiento masivo de octubre de su actualización trimestral de parches críticos (CPU), que corrigieron 402 vulnerabilidades en varias familias de productos. Las versiones compatibles afectadas son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0.

La actualización de octubre se publicó el 21 de octubre. Avanzando rápidamente hasta esta semana, Johannes B. Ullrich, decano de investigación del Instituto de Tecnología SANS, dijo el jueves que, basándose en observaciones en forma de panal, los ciberdelincuentes ahora están atacando activamente la falla.

«En este punto, estamos viendo que los escaneos se ralentizan un poco», dijo Ullrich. en una publicación del jueves. «Pero han alcanzado la ‘saturación’, lo que significa que se han escaneado todas las direcciones IPv4 en busca de esta vulnerabilidad. Si encuentra un servidor vulnerable en su red: asuma que ha sido comprometido».

Ullrich dijo que los exploits parecen estar basados ​​en una publicación de blog publicada el miércoles (en vietnamita) por «Jang», que describía cómo explotar la falla para lograr la ejecución remota de código a través de una sola solicitud GET. A continuación se muestra un video de prueba de concepto (POC).

Ullrich dijo que los intentos de explotación en honeypots hasta ahora provienen de cuatro direcciones IP: 114.243.211.182, 139.162.33.228, 185.225.19.240 y 84.17.37.239.

Ullrich y otra instar a los usuarios de Oracle WebLogic Server a actualizar sus sistemas lo antes posible. Los usuarios pueden encontrar un documento sobre la disponibilidad de parches para WebLogic y otros productos Oracle vulnerables, disponible aquí.

Uno para las miradas de detección. Se abusará de este error de Oracle WebLogic, preautorización de RCE a través de una solicitud POST. https://t.co/y6huXWUuS0

– Kevin Beaumont (@GossiTheDog) 28 de octubre de 2020

Los servidores Oracle WebLogic continúan viéndose afectados por los ataques. En mayo de 2020, Oracle instó a los clientes a acelerar un parche para una falla crítica en su servidor WebLogic bajo ataque activo. La compañía dijo que recibió numerosos informes de que los atacantes tenían como objetivo la vulnerabilidad corregida el mes pasado. En mayo de 2019, los investigadores advirtieron que la actividad maliciosa que explota una vulnerabilidad de deserialización crítica de Oracle WebLogic (CVE-2019-2725) revelada recientemente estaba en aumento, incluso para difundir el ransomware «Sodinokibi». En junio de 2019, Oracle afirmó que una falla crítica de ejecución de código remoto en su servidor WebLogic (CVE-2019-2729) fue explotado activamente en la naturaleza.

.

Deberías compartir en en tu Twitter y Facebook para que tus colegas lo lean

??? ? ? ???

Comparte