Lo último:
Seguridad

Múltiples redes de bots explotan error crítico de Oracle WebLogic

Gustavo Genez

Ha sido reportada que la botnet DarkIRC está atacando activamente a miles de servidores Oracle WebLogic que potencialmente estén afectados por la vulnerabilidad identificada con el código CVE-2020-14882. Esta vulnerabilidad podría permitir a un atacante remoto tomar el control, sin autenticar, del sistema enviando una simple solicitud de HTTP GET.

Esta vulnerabilidad se viene dando desde hace unos meses atrás. Como ya hablamos en https://unaaldia.hispasec.com/2020/10/vulnerabilidad-critica-en-oracle-weblogic.html se trata de una vulnerabilidad crítica. La red de bots involucrada en este ataque tiene como objetivo 3.300 servidores que han sido expuestos de manera pública y sin parches para desplegar mineros a la vez que roban información delicada de estos sistemas. Estos ataques van dirigidos a una vulnerabilidad anteriormente parcheada en octubre y nuevamente en noviembre. 

El fallo se encuentra como CVE-2020-14882 y alcanza una puntuación CVSS de 9.8 con respecto a un total de 10, lo cual es extremadamente elevado. Este CVE afecta a las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. de WebLogic Server”.

Aunque se ha solucionado el problema, el lanzamiento del “Proof-of-Concept” y un exploit ha convertido a las instancias vulnerables de Oracle WebLogic en un objetivo lucrativo para que los atacantes recluten estos servidores en una botnet que roba datos críticos y desplieguen malware.

El malware también implementa una función de Bitcoin Clipper para secuestrar las transacciones de bitcoin en el sistema infectado cambiando la dirección de la billetera de bitcoin copiada a la dirección de la billetera de bitcoin del operador del malware, y de esta forma lucrarse.

Además de utilizar SSH para el movimiento lateral, la red de bots lograba persistencia manipulando las tareas del cron además de matar las herramientas mineras de la competencia y las EDR de Alibaba y Tencent.

Se recomienda a los usuarios que apliquen la Actualización de Parches Críticos de octubre de 2020 y las actualizaciones asociadas a CVE-2020-14750 y CVE-2020-14882 lo antes posible para mitigar los riesgos derivados de este fallo.

Oracle también ha dado instrucciones para endurecer los servidores impidiendo el acceso externo a las aplicaciones internas accesibles en el puerto de Administración.

Más información:

https://www.oracle.com/security-alerts/cpuoct2020traditional.html

https://thehackernews.com/2020/12/multiple-botnets-exploiting-critical.html

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

Extraer el código fuente de una aplicación hecha con Xamarin

Gustavo Genez

17 preguntas más de Ciberseguridad, Hacking e IA y sus respuestas que me hicieron en la sesión de apertura del Campus de Ciberseguridad

Gustavo Genez

D-Link soluciona varias vulnerabilidades presentes en Central WifiManager

Gustavo Genez