Ha aparecido una nueva vulnerabilidad critica en la
aplicación Oracle WebLogic que permitiría al atacante el control del sistema
con poco esfuerzo y sin autenticación. Las versiones afectadas por esta
vulnerabilidad son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 and 14.1.1.0.
La vulnerabilidad la cual se le ha asignado un peligro de
9,8 envelope 10 no requiere apenas esfuerzo para ser explotada, basta con realizar
una simple petición HTTP GET. Oracle por su parte arreglo esta vulnerabilidad el
mes pasado en lo que se conoce como Critical Patch Update (CPU) e informó de
que el investigador de seguridad Voidfyoo de Chaitin Security Research Lab fue
la persona que encontró y reporto la vulnerabilidad a Oracle.
Poco después de publicarse el código de explotación los
honeypots del Instituto de Tecnología SANS detectaron ataques a esta
vulnerabilidad. Según informo Johannes Ullrich de SANS los ataques provienen de
las siguientes direcciones IP:
- 185.225.19.240 – Asignada a MivoCloud (Moldova)
- 139.162.33.228 – Asignada a Linode (U.S.A)
- 114.243.211.182 – Asignada a China Unicorn
- 84.17.37.239 – Asignada a DataCamp Ltd (Hong
Kong)
Excepto en la IP asignada a MivoCloud la cual ha intentado
ejecutar un comando cmd, el resto de IP por el momento solo han realizado pings
a los honeypots.
For the moment, según ha informado Ullrich los intentos de
explotación hacia los honeypots solo verifican si existe o no la vulnerabilidad
en el sistema, In addition, añade que están en proceso de alertar a los proveedores
de servicios de Internet sobre las actividades ofensivas de las direcciones IP
anteriores.
Desde SANS han observado que estos ataques se realizan una
semana después de que Oracle lanzara el parche para arreglar la vulnerabilidad.
Informan desde SANS que este hecho es normal debido a lo trivial que es la explotación,
la gravedad crítica y que el código para realizar la explotación está disponible
públicamente.