Vulnerabilidad día cero en servidores Oracle WebLogic

Una nueva vulnerabilidad día cero en el servidor de Oracle WebLogic está siendo explotada en ambientes reales, reportan especialistas en cómputo forense. La compañía ya ha sido notificada sobre la falla, aunque es probable que las correcciones demoren un poco en llegar, pues Oracle recién había lanzado su paquete de actualizaciones trimestral un par de días antes de recibir el reporte sobre la vulnerabilidad.

Los especialistas en cómputo forense consideran poco probable que Oracle lance nuevas actualizaciones antes de las correspondientes al tercer trimestre del año, por lo que al menos 36 mil servidores de WebLogic permanecerán expuestos hasta el lanzamiento de la actualización de Julio, así que los administradores de implementaciones de WebLogic tendrán que recurrir a soluciones alternativas hasta que la compañía decida actualizar. 

Los desarrolladores de Zoomeye, un motor de búsqueda similar a Shodan, fueron los encargados de reportar la vulnerabilidad el fin de semana pasado. Según reportan, los hackers están dirigiendo sus ataques contra los servidores de WebLogic que ejecutan los componentes WLS9_ASYNC (que agrega soporte para las operaciones del servidor) y WLS-WSAT (componente de seguridad del servidor). La vulnerabilidad, presente en ambos componentes, podría provocar la deserialización de código malicioso, lo que permitiría a los hackers tomar control del sistema objetivo.

Como medida de protección, los expertos en cómputo forense recomiendan a los administradores de implementaciones de WebLogic eliminar los componentes comprometidos y reiniciar los servidores; establecer reglas de firewall para restringir las solicitudes a las rutas URL explotadas en los ataques ( /_async/* y /wls-wsat/*) también es una solución funcional.

Algunos de los administradores de servidores WebLogic afirman que, por ahora, los atacantes sólo están ejecutando un exploit benigno en las implementaciones vulnerables con el propósito de analizar/probar el error; en otras palabras, los hackers aún no intentan inyectar malware o ejecutar tareas maliciosas en los hosts comprometidos.

Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) afirman que los servidores WebLogic son parte de las implementaciones más atacadas por actores de amenazas actualmente. En anteriores oportunidades, grupos de hackers lograron extraer más de 200 mil dólares en criptomoneda Monero explotando una vulnerabilidad en WebLogic presente en el componente WSL-WSAT.