Se libera un exploit para una vulnerabilidad crítica en Servidor Weblogic de Oracle que permitiría a un atacante la ejecución remota de código

Oracle WebLogic Server es un servidor de aplicaciones que permite crear e implementar aplicaciones Java EE empresariales. Ofrece soporte para nuevas características a fin de reducir el coste de las operaciones, mejorar el rendimiento, mejorar la escalabilidad y respaldar la cartera de Oracle Applications.

¿Qué pasó?

Se ha liberado un exploit para una vulnerabilidad crítica identificada como CVE-2020-2555 que en enero de este año ha sido mitigada por Oracle con actualizaciones, la misma afecta a:

• Oracle Coherence 3.7.1.17
• Oracle Coherence 12.1.3.0.0
• Oracle Coherence 12.2.1.3.0
• Oracle Coherence 12.2.1.4.0

La explotación exitosa de esta vulnerabilidad permitiría a un atacante no autenticado con acceso a la red, la ejecución remota de código a través de un error conocido como deserialización insegura, el cual se da cuando se usan datos no confiables para abusar de la lógica de una aplicación. Esta falla existe dentro del protocolo T3 en el puerto TCP 7001.

Un ejemplo de explotación de esta vulnerabilidad, la pude ver aquí.

Además, este parche de seguridad aborda otras 333 vulnerabilidades, y entre ellas las siguientes son críticas:

• CVE-2020-2551 y CVE-2020-2546, que ser explotadas de manera exitosa permitiría a un atacante remoto no autenticado la ejecución remota de código. Las versiones afectadas por el CVE-2020-2551, son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 y 12.2.1.4.0, mientras que el CVE-2020-2546 afecta sólo a las versiones 10.3.6.0.0 y 12.1.3.0.0 de Oracle WebLogic Server.
• CVE-2020-2728, el cual permitiría a un atacante no autenticado acceder a datos críticos de Identity Manager, la versión afectada por esta vulnerabilidad es la 12.2.1.3.0.
• CVE-2020-2586, permitiría a un atacante remoto con bajos privilegios la creación, eliminación o modificación no autorizada de datos críticos en la versión 12.1.1-12.1.3 y 12.2.3-12.2.9 de Oracle Human Resources.

Recomendaciones:

• Para evitar la explotación de esta vulnerabilidad, se recuerda actualizar Oracle Coherence a la última versión liberada por el fabricante, el cual la puede encontrar aquí.
• Además, se recomienda a los usuarios de Weblogic, deshabilitar el protocolo T3 para evitar ataques maliciosos.

Referencias:

• https://www.oracle.com/security-alerts/cpujan2020.html
• https://nvd.nist.gov/vuln/detail/CVE-2020-2555
• https://www.zerodayinitiative.com/advisories/ZDI-20-128/
• https://meterpreter.org/cve-2020-2555-oracles-weblogic-server-remote-code-execution-vulnerability-alert/