• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Ataques / Múltiples redes de bots explotan error crítico de Oracle WebLogic

Múltiples redes de bots explotan error crítico de Oracle WebLogic

3 diciembre, 2020 Por Hispasec Deja un comentario

Ha sido reportada que la botnet DarkIRC está atacando activamente a miles de servidores Oracle WebLogic que potencialmente estén afectados por la vulnerabilidad identificada con el código CVE-2020-14882. Esta vulnerabilidad podría permitir a un atacante remoto tomar el control, sin autenticar, del sistema enviando una simple solicitud de HTTP GET.

Esta vulnerabilidad se viene dando desde hace unos meses atrás. Como ya hablamos en https://unaaldia.hispasec.com/2020/10/vulnerabilidad-critica-en-oracle-weblogic.html se trata de una vulnerabilidad crítica. La red de bots involucrada en este ataque tiene como objetivo 3.300 servidores que han sido expuestos de manera pública y sin parches para desplegar mineros a la vez que roban información delicada de estos sistemas. Estos ataques van dirigidos a una vulnerabilidad anteriormente parcheada en octubre y nuevamente en noviembre. 

El fallo se encuentra como CVE-2020-14882 y alcanza una puntuación CVSS de 9.8 con respecto a un total de 10, lo cual es extremadamente elevado. Este CVE afecta a las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. de WebLogic Server”.

Aunque se ha solucionado el problema, el lanzamiento del “Proof-of-Concept” y un exploit ha convertido a las instancias vulnerables de Oracle WebLogic en un objetivo lucrativo para que los atacantes recluten estos servidores en una botnet que roba datos críticos y desplieguen malware.

El malware también implementa una función de Bitcoin Clipper para secuestrar las transacciones de bitcoin en el sistema infectado cambiando la dirección de la billetera de bitcoin copiada a la dirección de la billetera de bitcoin del operador del malware, y de esta forma lucrarse.

Además de utilizar SSH para el movimiento lateral, la red de bots lograba persistencia manipulando las tareas del cron además de matar las herramientas mineras de la competencia y las EDR de Alibaba y Tencent.

Se recomienda a los usuarios que apliquen la Actualización de Parches Críticos de octubre de 2020 y las actualizaciones asociadas a CVE-2020-14750 y CVE-2020-14882 lo antes posible para mitigar los riesgos derivados de este fallo.

Oracle también ha dado instrucciones para endurecer los servidores impidiendo el acceso externo a las aplicaciones internas accesibles en el puerto de Administración.

Más información:

https://www.oracle.com/security-alerts/cpuoct2020traditional.html

https://thehackernews.com/2020/12/multiple-botnets-exploiting-critical.html

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Una al día

Publicado en: Ataques, Vulnerabilidades Etiquetado como: bitcoin, bots, cryptominado, darkirc, Oracle, Weblogic

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.

Entradas recientes

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...