Actualice sus servidores Oracle. Los hackers están explotando esta vulnerabilidad para robar su base de datos

Un grupo de hackers maliciosos ha comenzado una campaña masiva de escaneo en la red para identificar servidores que ejecuten implementaciones de Oracle WebLogic vulnerables a CVE-2020-14882, una falla que podría ser explotada por actores de amenazas no autenticados para tomar control completo de un sistema comprometido.

Esta vulnerabilidad recibió un puntaje de 9.8/10 según el Common Vulnerability Scoring System (CVSS), y fue corregida en el más reciente Parche de Actualización Crítica de Oracle (CPU). La falla afecta a las siguientes versiones de WebLogic Server: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.

Mientras que la vulnerabilidad fue descubierta por investigadores de Chaitin Security Research Lab, los expertos de SANS Technology Institute establecieron una colección de honeypots potencialmente vulnerables a ataques poco después de que el código de explotación de CVE-2020-14882 fuera revelado públicamente. En su informe, SANS menciona que las direcciones IP asociadas a estos ataques son:

• 114.243.211.182 – asignada a China Unicom
• 139.162.33.228 – asignada a Linode (EE. UU.)
• 185.225.19.240 – asignada a MivoCloud (Moldavia)
• 84.17.37.239 – asignada a DataCamp Ltd (Hong Kong)

Al parecer, el exploit empelado en estos ataques podría estar basado en el código revelado por  otro investigador hace unos días: “Estos intentos de explotación solo tienen como fin determinar si el sistema objetivo es vulnerable al ataque; aún no se ha determinado el alcance potencial de este incidente”, mencionan los investigadores.

#CVE-2020–14882 Weblogic Unauthorized bypass RCE
http://x.x.x.x:7001/console/images/%252E%252E%252Fconsole.portal

POST:

_nfpb=true&_pageLabel=&handle=https://t.co/jBUfUasQC1.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27calc.exe%27);%22)https://t.co/nU8xkK30DU pic.twitter.com/uLiggjHnQG

— Jas502n (@jas502n) October 28, 2020

SANS Institute también está alertando a los proveedores de servicios de Internet sobre las direcciones IP identificadas en esta campaña de explotación para que la industria pueda prepararse adecuadamente ante una posible campaña de ataque masivo.

Explore through 3.3k of IP addresses exposed to CVE-2020-14882 (Vulnerability in the Oracle WebLogic Server). 🔥

Easy #BugBounty 😉 pic.twitter.com/WMLcKG6dV5

— Dr.FarFar (@3XS0) October 29, 2020

Empleando el motor de búsqueda Spyse, usado para identificar servidores potencialmente comprometidos, detectando más de 3 mil instalaciones.

Se recomienda a los administradores de Oracle WebLogic instalar el parche para corregir CVE-2020-14882 lo antes posible y prevenir una campaña de explotación masiva.