La vulnerabilidad CVE-2020-14882 que afecta a Oracle
WebLogic es conocida y cuenta con una solución desde hace algún tiempo, y aun
sabiendo el problema y existir un parche que arregla la vulnerabilidad sigue
siendo una vulnerabilidad explotada masivamente en estos últimos días,
información que han revelado desde Juniper Networks. La vulnerabilidad afecta a
las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0.
Según los investigadores de Juniper, la botnet DarkIRC lleva
desde algún tiempo apuntando a servidores Oracle WebLogic con esta
vulnerabilidad aun sin parchear, expuesto a cualquier tipo de ataque que
aproveche esta vulnerabilidad critica (recordemos que está vulnerabilidad tiene
un 9.8 de 10 en su valoración de criticidad), al ser explotada esta permite ejecución
de código arbitrario. Está no es la primera campaña de ciberataques basados en
este CVE, el mes pasado ya hubo un ataque masivo a servidores Oracle WebLogic explotando
este CVE.
En el ataque masivo del mes pasado se utilizo por parte de
los atacantes Cobalt Stirke, para una vez obtenido acceso al servidor Oracle
WebLogic, exfiltrar datos y poder implementar nuevas cargas útiles para emplear
estos sistemas comprometidos para otros fines, lo más común es utilizar el
equipo comprometido en una red de bots siendo gestionado por un servidor command
and control.
En este caso DarkIRC se aprovecha de la vulnerabilidad con
un script de PowerShell ejecutado a través de una solicitud HTTP GET que
contiene un malware con capacidad anti-análisis y anti-sandbox. Una vez está
dentro, DarkIRC tiene la capacidad de registrar teclas, ejecutar comandos en el
servidor, el robo de credenciales y propagarse a través de MSSQL y RDP (fuerza
bruta) entre otras.
Según una búsqueda con Shodan, unos 2.973 servidores de
Oracle WebLogic expuestos al internet son potencialmente vulnerables a ataques
remotos que se aprovechen de explotar la vulnerabilidad anterior.
