La explotación de la vulnerabilidad (CVE-2020-14882), permitiría la ejecución de código remoto en un servidor que posea el servicio Oracle WebLogic vulnerable, permitiendo la instalación de programas de minería de criptomonedas tal como “z0Miner” descubierto en el mes de septiembre.
El producto Oracle WebLogic Server de Oracle Fusion Middleware posee un componente vulnerable llamado Console y cuya explotación no posee complejidad, esta vulnerabilidad permitiría a un atacante no autenticado comprometer totalmente el servidor para luego ser utilizado con fines maliciosos.
Una vez obtenido el acceso remoto en un servidor vulnerable, el malware desplegará un conjunto de webshells para instalar y ejecutar archivos maliciosos, incluido un archivo de extensión “dll” disfrazado como un servicio de integración de Hyper-V, así como una tarea programada que pretende ser una tarea legítima de .NET Framework NGEN.
Estas acciones iniciales tienen como objetivo mantener la persistencia en una máquina infectada. En su implementación de payload de segunda etapa, el malware escaneará y desinstalará cualquier minero instalado en el servidor, antes de lanzar el suyo propio.
Las versiones de Oracle WebLogic Server afectadas por el CVE-2020-14882 son: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0.
Se recomienda instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
Referencias: