Múltiples redes de bots explotan error crítico de Oracle WebLogic

Ha sido reportada que la botnet DarkIRC está atacando activamente a miles de servidores Oracle WebLogic que potencialmente estén afectados por la vulnerabilidad identificada con el código CVE-2020-14882. Esta vulnerabilidad podría permitir a un atacante remoto tomar el control, sin autenticar, del sistema enviando una simple solicitud de HTTP GET.

Esta vulnerabilidad se viene dando desde hace unos meses atrás. Como ya hablamos en https://unaaldia.hispasec.com/2020/10/vulnerabilidad-critica-en-oracle-weblogic.html se trata de una vulnerabilidad crítica. La red de bots involucrada en este ataque tiene como objetivo 3.300 servidores que han sido expuestos de manera pública y sin parches para desplegar mineros a la vez que roban información delicada de estos sistemas. Estos ataques van dirigidos a una vulnerabilidad anteriormente parcheada en octubre y nuevamente en noviembre. 

El fallo se encuentra como CVE-2020-14882 y alcanza una puntuación CVSS de 9.8 con respecto a un total de 10, lo cual es extremadamente elevado. Este CVE afecta a las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. de WebLogic Server”.

Aunque se ha solucionado el problema, el lanzamiento del “Proof-of-Concept” y un exploit ha convertido a las instancias vulnerables de Oracle WebLogic en un objetivo lucrativo para que los atacantes recluten estos servidores en una botnet que roba datos críticos y desplieguen malware.

El malware también implementa una función de Bitcoin Clipper para secuestrar las transacciones de bitcoin en el sistema infectado cambiando la dirección de la billetera de bitcoin copiada a la dirección de la billetera de bitcoin del operador del malware, y de esta forma lucrarse.

Además de utilizar SSH para el movimiento lateral, la red de bots lograba persistencia manipulando las tareas del cron además de matar las herramientas mineras de la competencia y las EDR de Alibaba y Tencent.

Se recomienda a los usuarios que apliquen la Actualización de Parches Críticos de octubre de 2020 y las actualizaciones asociadas a CVE-2020-14750 y CVE-2020-14882 lo antes posible para mitigar los riesgos derivados de este fallo.

Oracle también ha dado instrucciones para endurecer los servidores impidiendo el acceso externo a las aplicaciones internas accesibles en el puerto de Administración.

Más información:

https://www.oracle.com/security-alerts/cpuoct2020traditional.html

https://thehackernews.com/2020/12/multiple-botnets-exploiting-critical.html

Compartir