Oracle WebLogic en el epicentro de un ataque masivo

0
496

Cada vez que se hace pública un vulnerabilidad, como esta que afecta a Oracle WebLogic, el volumen de ataques basados en la misma crece de manera exponencial. Esta es una constante que, por ejemplo, hemos visto recientemente con ZeroLogon, y que se reproduce con asiduidad. Y es normal, claro, porque una vez detectado un agujero de este tipo, lo común es difundir su existencia y, de manera muy somera, en qué consiste, conceder un plazo razonable al responsable del software para que lo solvente y, cumplido ese plazo y/o cuando la vulnerabilidad es parcheada, se divulgan todos los detalles de la misma.

Obviamente, una vez que se ha hecho pública tanto la vulnerabilidad como la solución para la misma, todos los usuarios que emplean el producto afectado deben actualizarlo a la mayor brevedad. El problema es que no siempre ocurre así, y esto puede deberse a varias razones. Una que desgraciadamente es bastante común es la falta de tiempo y/o recursos para gestionarlo en tiempo y forma. Otra es que, en ocasiones, llevar a cabo una actualización no es un proceso automático, pues puede producir efectos indeseados en los sistemas de producción. Y sí, en ocasiones también podemos encontrar la dejadez por parte de algunos «profesionales» que no conceden a la seguridad la importancia que realmente tiene.

Sea cual sea el caso, nos encontramos de nuevo con un caso en el que una vulnerabilidad, en este caso la CVE-2020-14882 que afecta a Oracle WebLogic, que pese a que ya es conocida y cuenta con una solución desde hace algún tiempo, está siendo masivamente explotada estos últimos días, según revela Juniper Networks. Esta CVE afecta a las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. de Oracle WebLogic Server, por lo que cualquier administrador de este servidor de aplicaciones de Oracle debe actualizarlo a la mayor brevedad.

Con respecto a este ataque en concreto, según los investigadores de Juniper la botnet DarkIRC tiene desde hace un tiempo en su punto de mira a miles de servidores Oracle WebLogic no parcheados y, por lo tanto, expuestos a cualquier ataque que aproveche esta vulnerabilidad crítica (la valoración de su peligrosidad es de 9,8 de 10) que permite la ejecución remota de código arbitrario. Y no es la primera campaña basada en esta CVE, ya vivimos otro ataque masivo a servidores Oracle WebLogic el mes pasado.

En aquella acción los atacantes emplearon Cobalt Strike para, tras obtener acceso a los servidores con Oracle WebLogic, convertirlo en persistente, exfiltrar datos y poder implementar nuevas cargas útiles con las que emplear los sistemas comprometidos para cualquier otro fin, es decir, lo más común en redes de bots configuradas para ser gestionadas desde un servidor de comando y control.

En esta ocasión, DarkIRC está explotando la vulnerabilidad de Oracle WebLogic en servidores sin parchear mediante un script de PowerShell ejecutado a través de una solicitud HTTP GET con un malware que tiene capacidades anti-análisis y anti-sandbox. Une vez dentro, DarkIRC tiene multitud de capacidades que incluyen, entre otras, el registro de teclas, la descarga de archivos y la ejecución de comandos en el servidor infectado, el robo de credenciales, la propagación a otros dispositivos a través de MSSQL y RDP (fuerza bruta), SMB o USB, así como el lanzamiento de varios tipos de ataques DDoS.

Según el buscador Shodan, 2.973 servidores Oracle WebLogic expuestos en línea son potencialmente vulnerables a ataques remotos que aprovechan la falla anterior. La mayoría de estos sistemas se encuentran en China (829), seguidos de Estados Unidos (526) e Irán (369). Es obvio que sus usuarios deben actualizarse ya, pero no estaría de más que Oracle, de algún modo, también actuara de manera proactiva para evitar que las versiones afectadas de WebLogic sean actualizadas a la mayor brevedad, dado que el origen del problema es un fallo en uno de sus productos.