Se você não corrigiu falhas do console do servidor WebLogic nos últimos oito dias, ‘presuma que foi comprometido’

Na semana passada, a Oracle lançou um de seus enormes patch dumps trimestrais – com 402 correções . Bem, acontece que se você perdeu um e está executando o WebLogic 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, provavelmente já foi marcado por hackers.

Na quinta-feira, Johannes Ullrich, Reitor de Pesquisa do SANS Technology Institute, detectou um grande aumento no tráfego de sistemas “honeypot” de pesquisa enquanto alguém tentava identificar servidores WebLogic voltados para o público que não foram corrigidos contra CVE-2020-14882 . A falha, com uma pontuação CVSS de 9,8, é uma “vulnerabilidade facilmente explorável” no console do aplicativo que pode ser direcionada por HTTP sem interação do usuário para executar o código remotamente.

“Neste ponto, estamos vendo os exames ficarem um pouco mais lentos”, explicou ele. Mas eles atingiram a “saturação”, o que significa que todos os endereços IPv4 foram verificados quanto a essa vulnerabilidade. Se você encontrar um servidor vulnerável em sua rede: Suponha que ele tenha sido comprometido. “

Ullrich disse que o código de exploração do código do servidor de aplicativos Java EE que está sendo usado parece ser baseado em informações publicadas na quarta-feira por alguém identificado como Nguyen Jang. A postagem, em vietnamita, descreve como obter acesso total a um servidor WebLogic sem patch com uma única solicitação GET e tem um vídeo que você pode ver abaixo:

Todas as tentativas de exploração se originam de quatro endereços IP, disse Ullrich.

  • 114.243.211.182: China Unicom.
  • 139.162.33.228 : Linode (EUA)
  • 185.225.19.240 : MivoCloud (Moldávia).
  • 84.17.37.239 : DataCamp Ltd (Hong Kong).

“Essas tentativas de exploração estão agora apenas verificando se o sistema está vulnerável”, disse ele. “Nossos honeypots (até agora) não retornaram a resposta” correta “e ainda não vimos solicitações de acompanhamento.”

É possível que esta tenha sido uma verificação simples para estimar o número total de máquinas vulneráveis; as investigações estão em andamento. Nesse ínterim, corrija e verifique todas as máquinas vulneráveis ​​e comece a trabalhar nas outras 401 correções – quem sabe qual é a próxima? 

Fonte: https://www.theregister.com/2020/10/29/weblogic_exploit_attack