Cabecera-v2-web.jpg

Malware “DarkIRC” explota masivamente una vulnerabilidad crítica en Oracle WebLogic Server


1.jpg

03/12/2020

Oracle WebLogic es una plataforma para desarrollar, implementar y ejecutar aplicaciones Java empresariales en cualquier entorno de nube, así como en las instalaciones.

Se ha descubierto que botnets conocidas como DarkIRC apuntan a miles de servidores Oracle WebLogic expuestos públicamente (aún sin parches instalados) potencialmente vulnerables. El fallo fue catalogado como CVE-2020-14882 de criticidad 9.8 de un máximo de 10 (lo que significa grave impacto en la confidencialidad, integridad y disponibilidad) para tomar el control de los sistemas afectados. La vulnerabilidad ya fue corregida por Oracle en dos oportunidades el pasado octubre y noviembre con el CVE-2020-14750, ,sin embargo aún existen sistemas sin los parches aplicados.

El fallo afecta a Oracle WebLogic Server en sus versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, y 14.1.1.0.0.

Investigadores afirman que se puede acceder a casi 3000 servidores Oracle WebLogic a través de Internet según las estadísticas de Shodan y permiten que atacantes no autenticados puedan ejecutar código remoto en servidores específicos. Aunque el problema ha sido abordado por Oracle, la publicación del código de explotación de prueba de concepto ha convertido a las instancias vulnerables de Oracle WebLogic en un objetivo lucrativo para que los ciberdelincuentes recluten estos servidores en una botnet que roba datos críticos y despliegue payloads de malware de segunda etapa. Ciberdelincuentes han estado vendiendo el malware DarkIRC en foros de piratería.

Aunque se utilizan al menos cinco payloads diferentes. Las botnets DarkIRC son las más interesantes, explotan esta vulnerabilidad RCE para propagarse lateralmente por la red, descargar archivos, registrar pulsaciones de teclas, robar credenciales y ejecutar comandos arbitrarios en máquinas comprometidas. También actúa como un clipper de Bitcoin que les permite cambiar las direcciones de la billetera de bitcoin copiadas en el portapapeles a la dirección de la billetera de bitcoin del operador, lo que permite a los atacantes redirigir las transacciones de Bitcoin.

Además de usar SSH para el movimiento lateral, se ha descubierto que la botnet logra la persistencia a través de cron jobs, elimina las herramientas de minería de la competencia e incluso desinstala las herramientas de Endpoint detection and response (EDR)

¿Cómo funciona?

Se entrega en servidores sin parches mediante un script de PowerShell ejecutado a través de una solicitud HTTP GET en forma de binario malicioso que viene con capacidades anti-análisis y anti-sandbox.

Antes de desempaquetar el malware final, primero verificará si se está ejecutando en una máquina virtual VMware, VirtualBox, VBox, QEMU o Xen y detendrá el proceso de infección si detecta un entorno de espacio aislado.

Una vez descomprimido, el bot DarkIRC se instalará en %APPDATA% \Chrome\ Chrome.exe y obtendrá persistencia en el dispositivo comprometido mediante la creación de una entrada de ejecución automática.

DarkIRC viene con una multitud de capacidades que incluyen, entre otras, el registro de teclas, la descarga de archivos y la ejecución de comandos en el servidor infectado, el robo de credenciales, la propagación a otros dispositivos a través de MSSQL y RDP (fuerza bruta), SMB o USB, así como el lanzamiento de varios versiones de ataques DDoS.

"Se puede explotar de forma remota sin autenticación, es decir, se puede explotar a través de una red sin la necesidad de un nombre de usuario y contraseña", explicó Oracle en un aviso de seguridad emitido el 2 de noviembre después de publicar una actualización de seguridad

Recomendaciones de seguridad

  • Aplicar de forma inmediata los parches de seguridad para las versiones de Oracle WebLogic Server afectadas: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0, disponibles en el sitio web oficial del fabricante: Parche, siguiendo los pasos indicados.
  • Oracle también ha proporcionado instrucciones para fortalecer los servidores evitando el acceso externo a las aplicaciones internas accesibles en el puerto de administración: Hardening.

Referencias


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11