Vulnerabilità di Oracle WebLogic una settimana dopo l’applicazione delle patch

Una vulnerabilità corretta una settimana fa da Oracle nel suo prodotto WebLogic Server è già stata sfruttata.

Il bug di sicurezza, monitorato come CVE-2020-14882 e classificato come critico, è stato corretto da Oracle con l’aggiornamento della patch critica (CPU) di ottobre 2020. La vulnerabilità può essere sfruttata in remoto e senza autenticazione, consentendo a un utente malintenzionato di eseguire codice arbitrario.

Il problema è stato segnalato a Oracle da un ricercatore del Chaitin Security Research Lab con sede in Cina. Mercoledì, un ricercatore vietnamita di nome Jang ha pubblicato un post sul blog descrivendo CVE-2020-14882 (scritto in vietnamita) e ha mostrato quanto facilmente possa essere sfruttato inviando una richiesta appositamente predisposta al server mirato.

Il SANS Technology Institute ha riferito giovedì che i suoi honeypot hanno registrato tentativi di sfruttare questa vulnerabilità di WebLogic . Johannes B. Ullrich, decano della ricerca al SANS, ha detto che i tentativi di sfruttamento sembrano essere basati sul PoC reso pubblico dal ricercatore vietnamita.

Ullrich ha affermato che gli attacchi che hanno colpito gli honeypot SANS hanno verificato solo se il sistema era vulnerabile, ma altri hanno riferito di aver visto tentativi di sfruttamento che comportavano il download di un file eseguibile da un server remoto e l’esecuzione.

Gli attacchi visti da SANS provenivano da quattro indirizzi IP assegnati a organizzazioni in Cina, Stati Uniti e Moldova.

“A questo punto, stiamo vedendo le scansioni rallentare un po’. Ma hanno raggiunto la “saturazione”, il che significa che tutti gli indirizzi IPv4 sono stati scansionati per questa vulnerabilità “, ha detto Ullrich. “Se trovi un server vulnerabile nella tua rete: supponi che sia stato compromesso.”

Le vulnerabilità di Oracle WebLogic Server sono spesso prese di mira dagli hacker, inclusi criminali informatici orientati al profitto e gruppi sponsorizzati dallo stato. Molte di queste vulnerabilità vengono sfruttate dopo che sono state corrette, ma gli hacker che sfruttano zero-day non sono inauditi.

Poco dopo il rilascio della CPU di aprile 2020, Oracle ha avvertito i clienti che una vulnerabilità critica di WebLogic, rivelata al fornitore da più ricercatori, tra cui Jang, era stata sfruttata.