Vulnerabilidad de Oracle WebLogic explotada por DarkIRC bot

      La vulnerabilidad CVE-2020-14882 que afecta a Oracle WebLogic es conocida y cuenta con una solución desde hace algún tiempo, y aun sabiendo el problema y existir un parche que arregla la vulnerabilidad sigue siendo una vulnerabilidad explotada masivamente en estos últimos días, información que han revelado desde Juniper Networks. La vulnerabilidad afecta a las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0.

Según los investigadores de Juniper, la botnet DarkIRC lleva desde algún tiempo apuntando a servidores Oracle WebLogic con esta vulnerabilidad aun sin parchear, expuesto a cualquier tipo de ataque que aproveche esta vulnerabilidad critica (recordemos que está vulnerabilidad tiene un 9.8 de 10 en su valoración de criticidad), al ser explotada esta permite ejecución de código arbitrario. Está no es la primera campaña de ciberataques basados en este CVE, el mes pasado ya hubo un ataque masivo a servidores Oracle WebLogic explotando este CVE.

En el ataque masivo del mes pasado se utilizo por parte de los atacantes Cobalt Stirke, para una vez obtenido acceso al servidor Oracle WebLogic, exfiltrar datos y poder implementar nuevas cargas útiles para emplear estos sistemas comprometidos para otros fines, lo más común es utilizar el equipo comprometido en una red de bots siendo gestionado por un servidor command and control.

En este caso DarkIRC se aprovecha de la vulnerabilidad con un script de PowerShell ejecutado a través de una solicitud HTTP GET que contiene un malware con capacidad anti-análisis y anti-sandbox. Una vez está dentro, DarkIRC tiene la capacidad de registrar teclas, ejecutar comandos en el servidor, el robo de credenciales y propagarse a través de MSSQL y RDP (fuerza bruta) entre otras.

Según una búsqueda con Shodan, unos 2.973 servidores de Oracle WebLogic expuestos al internet son potencialmente vulnerables a ataques remotos que se aprovechen de explotar la vulnerabilidad anterior.