Un grupo de hackers maliciosos ha comenzado una campaña masiva de escaneo en la red para identificar servidores que ejecuten implementaciones de Oracle WebLogic vulnerables a CVE-2020-14882, una falla que podría ser explotada por actores de amenazas no autenticados para tomar control completo de un sistema comprometido.
Esta vulnerabilidad recibió un puntaje de 9.8/10 según el Common Vulnerability Scoring System (CVSS), y fue corregida en el más reciente Parche de Actualización Crítica de Oracle (CPU). La falla afecta a las siguientes versiones de WebLogic Server: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.
Mientras que la vulnerabilidad fue descubierta por investigadores de Chaitin Security Research Lab, los expertos de SANS Technology Institute establecieron una colección de honeypots potencialmente vulnerables a ataques poco después de que el código de explotación de CVE-2020-14882 fuera revelado públicamente. En su informe, SANS menciona que las direcciones IP asociadas a estos ataques son:
- 114.243.211.182 – asignada a China Unicom
- 139.162.33.228 – asignada a Linode (EE. UU.)
- 185.225.19.240 – asignada a MivoCloud (Moldavia)
- 84.17.37.239 – asignada a DataCamp Ltd (Hong Kong)
Al parecer, el exploit empelado en estos ataques podría estar basado en el código revelado por otro investigador hace unos días: “Estos intentos de explotación solo tienen como fin determinar si el sistema objetivo es vulnerable al ataque; aún no se ha determinado el alcance potencial de este incidente”, mencionan los investigadores.
SANS Institute también está alertando a los proveedores de servicios de Internet sobre las direcciones IP identificadas en esta campaña de explotación para que la industria pueda prepararse adecuadamente ante una posible campaña de ataque masivo.
Empleando el motor de búsqueda Spyse, usado para identificar servidores potencialmente comprometidos, detectando más de 3 mil instalaciones.
Se recomienda a los administradores de Oracle WebLogic instalar el parche para corregir CVE-2020-14882 lo antes posible y prevenir una campaña de explotación masiva.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.