Fecha: 04/11/2020
Oracle WebLogic Server es una plataforma unificada y extensible que sirve para el desarrollo, implementación y ejecución de aplicaciones empresariales on-premise o en la nube. Además de ofrecer una implementación sólida y escalable de Java EE (Enterprise Edition) y Jakarta EE.
¿Qué pasó?
Oracle ha lanzado recientemente un parche de seguridad de emergencia para abordar una vulnerabilidad riesgo críticoidentificada con el CVE-2020-14750 (calificación de riesgo 9.8), que afecta a diversas versiones de Oracle WebLogic Server. La explotación exitosa de este fallo permitiría a un atacante remoto no autenticado ejecutar código.
Versiones Afectadas:
- Oracle WebLogic Server, en versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0.
Los detalles técnicos de este fallo no fueron revelados, sin embargo, de acuerdo a lo especificado en la alerta de seguridad de Oracle, un atacante remoto no autenticado podría explotar este fallo en el componente de la consola del servidor, a través del protocolo HTTP y de tener éxito ejecutar código arbitrario, permitiéndole tomar control y comprometer los servidores afectados sin necesidad de interacción del usuario.
Por otro lado, cabe recalcar que esta vulnerabilidad abordada se encuentra relacionada con otra identificada con el CVE-2020-14882 de riesgo crítico, la cual afecta a las mismas versiones de Oracle WebLogic Server y fue abordada el pasado octubre con las actualizaciones de seguridad de Oracle. Esta última, ha sido activamente explotada por atacantes mediante el escaneo y búsqueda de instancias de Oracle WebLogic vulnerables.
A pesar de que no se han brindado más detalles sobre la relación de ambas vulnerabilidades, este parche de seguridad de emergencia podría estar relacionado con el hecho de que el viernes pasado fue descubierta una forma de eludir el parche para la vulnerabilidad CVE-2020-14882.
Debido a la severidad de esta vulnerabilidad, y la publicación de diversas pruebas de concepto (PoC), es importante aplicar las actualizaciones de seguridad proporcionadas en la alerta de seguridad lo antes posible.
Recomendaciones:
- Aplicar el parche de seguridad para Oracle WebLogic Server, desde el apartado Patch Availability Document de la alerta de seguridad de Oracle.
Referencias:
- https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
- https://www.oracle.com/security-alerts/alert-cve-2020-14750-verbose.html
- https://www.bleepingcomputer.com/news/security/oracle-issues-emergency-patch-for-critical-weblogic-server-flaw/
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-ejecucion-remota-codigo-oracle-weblogic-server-1