Los servidores de Oracle WebLogic están siendo atacados por piratas informáticos que intentan hacerse cargo de instalaciones vulnerables que no han recibido un parche reciente por una vulnerabilidad crítica
El error de seguridad en el corazón de estos intentos de piratería es CVE-2018-2893, una vulnerabilidad en un componente del middleware Oracle WebLogic que permite a un atacante controlar todo el servidor sin tener que conocer su contraseña.
La vulnerabilidad ha recibido un nivel "crítico" y un puntaje de gravedad de 9.8 sobre 10 en la escala de severidad CVSv3 debido a sus consecuencias, factor de explotación remota y facilidad de explotación.
Los detalles sobre esta vulnerabilidad nunca se hicieron públicos, y Oracle lanzó parches para este error el 18 de julio, la semana del 16 de julio.
Tres días después, varios exploits de prueba de concepto (PoC) han sido publicados en línea por varias personas. Se han rastreado al menos tres PoCs diferentes, con dos todavía están disponibles en línea, mientras que un tercero se ha eliminado en menos de un día después de su publicación en GitHub el 20 de julio
Como sucedió muchas veces en el pasado con muchas otras vulnerabilidades, la disponibilidad de este código PoC ha llevado a un aumento en los intentos de explotación.
Los primeros intentos de explotación comenzaron el sábado 21 de julio, después de que se difundiera la noticia de la existencia de los PoCs en las redes sociales. Desde entonces, los ataques han aumentado lentamente.
Al menos dos grupos explotan esto a escala
Los investigadores de seguridad de ISC SANS y Qihoo 360 Netlab actualmente están rastreando dos grupos separados que parecen haber automatizado la rutina de explotación y están realizando estos ataques a gran escala.
Se recomienda a los propietarios de los servidores que apliquen las actualizaciones de la CPU de Oracle julio de 2018 lo antes posible, y especialmente los parches para CVE-2018-2893. Se sabe que los servidores Oracle WebLogic que ejecutan las versiones 10.3.6.0, 12.1.3.0, 12.2.1.2 y 12.2.1.3 son vulnerables y necesitarán el parche.
Los atacantes están explotando esta falla a través del puerto 7001, por lo que los propietarios de sitios web pueden querer bloquear el acceso externo a ese puerto dentro de sus redes hasta que apliquen el parche.
Tercer error de Oracle WebLogic explotado en el último año
Estos ataques tampoco son la primera vez que los piratas informáticos se suben a la vulnerabilidad de un servidor Oracle WebLogic. Los malhechores, de manera similar, usaron el código PoC recientemente publicado para CVE-2017-10271 para hacerse cargo de los servidores y hacer que ejecuten mineros de criptomonedas. Solo un grupo hizo el año pasado más de $ 226,000 explotando este único defecto.
Los hackers también han aprovechado otra falla de WebLogic, CVE-2018-2628, en abril después de que los investigadores de seguridad descubrieran que Oracle había estropeado el parche y que los servidores seguían siendo vulnerables.
La minería de criptomonedas también fue la razón principal de los ataques en abril y es probablemente la principal amenaza en este momento también.
Fecha actualización el 2021-07-24. Fecha publicación el 2018-07-24. Categoría: oracle. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer