ESTOY BAJO UN CIBER ATAQUE

Alerta

Alerta 2024-14 Explotación activa en Oracle WebLogic Server

Producto(s) afectado(s):

Oracle WebLogic Server, un componente del conjunto Oracle Fusion Middleware.

  • Versiones afectadas:
    • 3.6.0
    • 1.3.0
    • 2.1.0
    • 2.1.1
    • 2.1.2

Descripción:

Recientemente, se ha producido un aumento de la explotación activa de la vulnerabilidad CVE-2017-3506 en Oracle WebLogic por parte de grupos delictivos. Esta vulnerabilidad, con una puntuación de gravedad de 7,4, reside en un componente de la suite Oracle Fusion Middleware. La explotación de esta vulnerabilidad permite a atacantes no autentificados inyectar comandos a nivel de sistema operativo modificando peticiones HTTP, aprovechando la funcionalidad de procesamiento XML del servidor.

Además, es crucial tener en cuenta que cualquier explotación exitosa podría conducir a la creación, modificación o eliminación de datos existentes en Oracle WebLogic, y el ataque podría extenderse potencialmente por toda la red.

Esta vulnerabilidad se descubrió en 2017, pero actualmente se observa una explotación concurrente por parte de la Banda 8220, un grupo chino centrado en el criptojacking (explotación de activos para minar criptomonedas sin consentimiento). Este resurgimiento puede deberse a que muchas de estas aplicaciones no están actualizadas y posiblemente utilizan un exploit de prueba de concepto para esta vulnerabilidad. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos la ha añadido a su base de datos de Vulnerabilidades Explotadas Conocidas (KEV).

Oracle WebLogic es un producto ampliamente utilizado, con aproximadamente 5.600 servidores expuestos a Internet en todo el mundo. En México, existen múltiples servidores expuestos en línea, y como parte de aplicaciones internas, que, aunque no estén directamente expuestos a Internet, podrían ser explotados como parte de la estrategia de movimiento lateral de un atacante dentro de una red tras obtener acceso.

Impacto:

Un actor malicioso que pueda acceder remotamente a nuestra aplicación Oracle WebLogic Server podría modificar nuestros datos locales y extender potencialmente el ataque por toda la red interna, lo que tendría un impacto significativo en la infraestructura.

Solución:

Actualiza el software Oracle WebLogic a las últimas versiones que solucionan esta vulnerabilidad.

Descargar PDF

ESTAMOS AQUÍ PARA AYUDARTE

¿Estás sufriendo un ciberataque?

Denúncialo aquí

recibe las últimas alertas en tu bandeja de entrada

Suscríbete a nuestro boletín

Somos un grupo de profesionales altamente capacitados con sede en I+D, con conocimientos técnicos avanzados y experiencia en la detección, análisis, contención y recuperación de incidentes de seguridad.

Somos un CSIRT, somos Cybolt.

ESTOY SUFRIENDO UN CIBERATAQUE

Explora

Servicios

Mantente informado

© 2024. Beacon Lab CSIRT, Política de privacidad

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.