Una de las recientes vulnerabilidades de Oracle WebLogic ya se encuentra siendo explotada

Recientemente han salido a la luz dos vulnerabilidades de ejecución de código remoto sobre Oracle WebLogic, identificadas como CVE-2020-14882 (parcheada durante el Critical Patch Update del mes pasado) y CVE-2020-14750  (resuelta por un security update el fin de semana pasado).

 

Ahora, poco tiempo después, ya se están viendo ataques en activo intentando explotar CVE-2020-14882 con el fin de desplegar Cobalt Strike (una herramienta de pentesting) que permitiría a los atacantes tener acceso remoto de forma persistente sobre cualquier servidor vulnerado.

 

Los cibercriminales se encuentran explotando esta vulnerabilidad para ejecutar scripts de PowerShell codificados en base64 a través de los cuales se descarga e instala un payload de Cobalt Strike sobre los servidores de Oracle WebLogic vulnerables.

 

Descarga del payload de Cobalt Strike
(Fuente: SANS)

 

Debido a lo facil que resulta explotar tanto CVE-2020-14882 y CVE-2020-14750 sin autenticación alguna, Oracle recomienda que se apliquen las actualizaciones necesarias a la brevedad para poder prevenir la explotación de las mismas.

 

Los clientes de Trend Micro pueden comenzar a proteger sus servidores de Oracle WebLogic con la siguiente regla de Virtual Patching de Deep Security / Cloud One:

 

1010590 – Oracle WebLogic Server Remote Code Execution Vulnerability (CVE-2020-14882)

 

Regla de Virtual Patching en Deep Security / Cloud One

Si bien puede no estar relacionado con esta serie de ataques, vale la pena tener en cuenta que hoy en día Cobalt Strike es una de las principales herramientas utilizadas por los atacantes para llegar a los controladores de dominio de una organización y desplegar el ransomware Ryuk desde allí, en muchos casos explotando la también reciente vulnerabilidad conocida como Zerologon.

 

Los interesados podéis encontrar más información respecto a la serie de ataques que involucran a Cobalt Strike en la distribución de Ryuk en nuestro vídeo: 

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *