Una vulnerabilidad 0-day descubierta en Oracle WebLogic está siendo explotada

  • Vulnerabilidades

Una vez que la vulnerabilidad CVE-2019-2725 se hizo pública con el lanzamiento del parche por parte de Oracle, se publicaron numerosos casos de código de prueba de concepto que la explotan. Investigadores de Palo Alto han detectado más de 600 intentos de explotación.

RECOMENDADOS:

Tecnologías que dan al dato el protagonismo que merece (WEBINAR) 

Cinco retos de la innovación en cloud

Informe IT Trends 2019: La realidad digital de la empresa española

Mejores prácticas para implementar una plataforma ágil

Robo de credenciales: prioriza la seguridad de tus apps

Instalación de Redes WiFi y LAN en Hoteles

La actividad maliciosa que explota la vulnerabilidad crítica de Oracle WebLogic (CVE-2019-2725) recientemente revelada está aumentando. A pesar de que hay un parche, decenas de miles de máquinas vulnerables representan un objetivo irresistible para los hackers, según los investigadores de Unit 42 en Palo Alto Networks.

Oracle WebLogic Server es un popular servidor de aplicaciones utilizado en la creación y despliegue de aplicaciones Java EE empresariales. Oracle lanzó un parche el 26 de abril, aunque la explotación de lo que entonces era una vulnerabilidad 0-day ya había comenzado, señalan los investigadores. Poco después, surgieron ataques de distribución de una variante de ransomware nunca vista antes llamada "Sodinokibi", y posteriormente ataques que propagan una nueva variante de la botnet Muhstik, que se utiliza para lanzar ataques DDoS y de cryptojacking. Ahora se están gestando otros ataques, y la actividad maliciosa no muestra signos de disminuir.

"Una vez que la vulnerabilidad se hizo pública con el lanzamiento del parche, se publicaron numerosos casos de código de prueba de concepto (PoC) que explotan la vulnerabilidad", aseguran los investigadores de Unit 42. "Los indicadores preliminares revelan más de 600 intentos de explotación dirigidos a CVE-2019-2725 y esperamos que este número aumente rápidamente".

Un análisis de Unit 42 mostró asimismo más de 41.000 instancias de WebLogic accesibles públicamente. "Con esta cantidad de instancias de WebLogic disponibles públicamente en Internet, así como un número desconocido de instancias privadas en entornos empresariales, esperamos una escalada de intentos de explotación en los próximos días y semanas", apuntan los investigadores.

El fallo crítico, que tiene una puntuación de CVSS de 9,8, es un error de ejecución de código que se puede explotar de forma remota sin autenticación. Se ven afectadas las versiones 10.3.6.0.0 y 12.1.3.0.0 del producto. Palo Alto señala que la explotación no requiere ninguna interacción por parte del usuario; un usuario remoto no autenticado puede enviar una solicitud HTTP que contenga una carga de SOAP diseñada y obtener la ejecución remota de código.

EncuestaIT
Encuesta IT Trends ¡Participa!

¿Cómo tratan en tu empresa los datos? ¿Cómo se crean las aplicaciones? Ayúdanos a conocer la realidad de los datos y las aplicaciones en tu organización. ¡Gracias!

TAGS Vulnerabilidades, Ciberataque

CONTENIDO RELACIONADO

CONTENIDO RECOMENDADO