Novo zero day do Oracle WebLogic descoberto em estado selvagem

Pesquisadores de segurança identificaram uma nova vulnerabilidade de dia zero que afeta o servidor Oracle WebLogic que está sendo atualmente alvo de ataques.

A Oracle foi notificada sobre o zero-day, mas a fabricante de softwares acaba de lançar seus patches trimestrais de segurança quatro dias antes da descoberta deste dia zero.

Como a empresa lança atualizações de segurança a cada três meses, uma atualização para resolver esse problema não será liberada por mais três meses, até julho.

Enquanto isso, mais de 36.000 servidores WebLogic publicamente acessíveis permanecerão vulneráveis ​​a ataques, e os proprietários de servidores terão que implantar soluções alternativas para neutralizar possíveis violações.

O DIA ZERO

O dia zero foi visto pela primeira vez no domingo, 21 de abril, pela KnownSec 404 , a empresa por trás da ZoomEye, um mecanismo de busca para descobrir dispositivos conectados à Internet.

A empresa diz que os invasores estão direcionando servidores Oracle WebLogic que executam os componentes WLS9_ASYNC e WLS-WSAT. O primeiro componente adiciona suporte para operações assíncronas do servidor, enquanto o segundo é o componente de segurança do servidor.

Existe uma vulnerabilidade nesses dois que pode disparar a desserialização de código mal-intencionado que permite que um hacker assuma o sistema de destino.

Para evitar ataques, o KnownSec 404 está recomendando que as empresas removam os componentes vulneráveis ​​e reiniciem seus servidores WebLogic ou estabeleçam regras de firewall para impedir que solicitações sejam feitas para dois caminhos de URL explorados pelos ataques (/ _async / * e / wls-wsat / *).

APENAS SCANS, SEM EXPLORAÇÃO

Várias fontes da comunidade de segurança cibernética disseram ao portalZDNet que os invasores estão apenas verificando servidores WebLogic e usando uma exploração benigna para testar a vulnerabilidade, mas eles não estão tentando soltar malware ou executar operações maliciosas em hosts vulneráveis ​​ainda.

A confirmação adicional para esses ataques também veio de fontes públicas, como Waratek e F5 Labs .

A atividade nessa frente está fadada a mudar nas próximas semanas, com os hackers mudando de varredura e sondando servidores vulneráveis ​​para ataques completos.

A história provou que os servidores WebLogic são alguns dos servidores mais procurados pelos hackers hoje em dia.

Por exemplo, um grupo de hackers faturou mais de US $ 226 mil do Monero no final de 2017 ao explorar o CVE-2017-10271, outra falha do Oracle WebLogic, que também afetou o componente WSL-WSAT.

Outros ataques também foram detectados, visando ao CVE-2018-2628 e ao CVE-2018-2893 , outro conjunto de falhas do Oracle WebLogic.

No último ano e meio, os servidores Oracle WebLogic foram alvo incessantemente, especialmente por grupos criminosos envolvidos em operações de mineração de criptomoedas. O CVE-2017-10271, acima de tudo, permaneceu como uma das suas façanhas favoritas.

Isso ocorre porque os servidores Oracle WebLogic geralmente têm acesso a enormes quantidades de recursos, mas também porque são extremamente populares, o que os torna fáceis de encontrar e o principal alvo de qualquer hacker.

Além disso, como os servidores WebLogic costumam ser implantados em redes corporativas ou para executar intranets ou outros aplicativos corporativos voltados para o público, qualquer comprometimento de um servidor WebLogic pode facilmente se transformar em um ataque catastrófico, com invasores obtendo acesso a uma grande variedade de informações confidenciais. .

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.