27 abr. 2019

Vulnerabilidad Crítica de WebLogic expone 36.000 servidores [CVE-2019-2568]

La vulnerabilidad, identificada como CVE-2019-2568, se puede explotar fácilmente y permite a un atacante comprometer el Servidor Oracle WebLogic sin necesidad de autenticarse (sin usuario y contraseña) y accediendo por la red mediante HTTP. La vulnerabilidad fue descubierta [y reportada a Oracle] por el grupo 404 Team de la empresa de seguridad China KnownSec.

Esta es una vulnerabilidad de deserialización en el componente Oracle WebLogic Server de Oracle Fusion Middleware (subcomponente: WLS Core Components) y las versiones compatibles que son afectados son 10.3.6.0.0, 12.1.3.0.0 y 12.2.1.3.0.
Oracle WebLogic es un servidor de aplicación escalable empresarial basado en Java que permite a los negocios desplegar rápidamente nuevos productos y servicios en la nube. Es popular tanto en entornos de nube tanto como en los tradicionales.

Impacto en el sistema

Los ataques basados en CVE-2019-2568 podrían resultar en una actualización no autorizada, y los atacantes también podrían insertar o eliminar el acceso a parte de la información accesible por un servidor Oracle WebLogic.

Según explican los investigadores que descubrieron la vulnerabilidad, esta falla permite la ejecución remota de código (RCE) con solo enviar un requerimiento HTTP preparado especialmente. Así lo muestran en su nota con esta captura el resultado:
Captura demostrando la ejecución arbitraria de código.
"Debido a que el paquete WAR tiene una falla en la deserialización de la información de entrada, el atacante puede conseguir la autoridad del servidor destino enviando un pedido HTTP malicioso cuidadosamente preparado y conseguir ejecutar el comando remotamente sin autorización" explican en la Plataforma Compartida de Información de Vulnerabilidades de Seguridad Nacional de China (CNVD).

Vulnerabilidades similares y exploit públicos

Este no es el primer bug de deserialización, o no, crítico de WebLogic, hubo otros como CVE-2018-2628 CVE-2018-3245 y CVE-2015-4852 y se puede constatar que para varios de ellos existen distintas pruebas de explotación que son de acceso público. Esto demuestra el interés en atacar plataformas difundidas de empresas de software importantes. Con estos exploits se comprueba que un atacante puede acceder sin autenticarse aprovechándose de distintas vulnerabilidades a un servidor Oracle WebLogic y ejecutar acciones de alto impacto tales como la ejecución remota de código sin autenticación.

De allí la importancia de mantenerse actualizado con los boletines de seguridad, aplicar los parches y hasta realizar esto, aplicar las medidas de mitigación que indica el fabricante.

¿Sin parche por ahora?

Al parecer esta vulnerabilidad estaba siendo detectada en la red desde cuando era un 0-day y Oracle estuvo consciente de la explotación. Pero como la empresa lanzó su actualización de seguridad trimestral varios días antes (16-abril) de la reparación del bug, la aplicación de parches se pensó que tomaría algún tiempo. Oracle publica actualizaciones de seguridad cada tres meses lo que significaría que CVE-2019-2568 iba a ser abordado recién en tres meses. Sin embargo Oracle envió un comunicado hoy 26 de abril el cual describe resumidamente la falla CVE-2019-2725 en su aviso de alerta de seguridad, y el parche correspondiente.

Impacto en el ciberespacio

ZoomEye es un famoso motor de búsqueda en el ciberespacio y reporta 101,040 resultados sobre servidores Oracle WebLogic, hay 36,173 resultados en 2019. La mayoría de ellos distribuidos en EEUU y China.
Impacto potencial global
También según ZoomEye, en Argentina hay unos 158 Weblogics expuestos en Internet, de los cuales 41 han sido descubiertos en 2019.
Impacto potencial en Argentina

Mitigación para CVE-2019-2568

Antes de que llegue y se instale efectivamente el parche oficial, los afectados tendrán que utilizar soluciones alternativas para evitar ataques. Para evitar ataques, la recomendación de KnownSec 404 es:
  1. Buscar y eliminar los archivos wls9_async_response.war y wls-wsat.war y reiniciar el servicio WebLogic, o
  2. Controlar con políticas de acceso la peticiones a dos rutas URL que se están explotando actualmente ( /_async/* y /wls-wsat/* ).
Autor: Raúl Batista y Walter Heffel de la redacción de Segu-Info en base a las fuentes.
Fuentes: SensorTechForum | KnownSec 404 Team | 0day | NIST Oracle

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!