TLP: Amber
NIVEL DE RIESGO CVSS v3.1 – 9.8 [Crítico]
Acción Requerida: Aplicar las actualizaciones liberadas por Oracle a los productos afectados.
Vector de ataque: Remoto.
Impacto: Ejecución de código.

Descripción

De acuerdo con investigaciones realizadas por expertos en seguridad, se ha identificado que la botnet conocida como “DarkIRC”, la cual ha estado activa desde agosto de este año, ahora está dirigiendo sus ataques a servidores Oracle WebLogic vulnerables a la falla de seguridad con el identificador CVE-2020-14882 (CVSS v3.1 9.8 [Crítico]).

Esta vulnerabilidad puede permitir que un usuario malicioso ejecute código de manera remota en el dispositivo afectado, sin requerir autenticación, lo que hace que aumente su criticidad. Un atacante puede enviar una solicitud HTTP GET especialmente diseñada y aprovechar esta vulnerabilidad.

Esta botnet envía una solicitud HTTP GET a un servidor WebLogic vulnerable y aprovecha el fallo CVE-2020-14882, posteriormente ejecuta un programa de PowerShell, el cual tiene características para evitar el análisis, además, tiene la capacidad de identificar si se está ejecutando en una sandbox o en una máquina virtual VMware, VirtualBox, VBox, QEMU o Xen, característica que hace que la infección se detenga.

Una vez ejecutado, el bot DarkIRC se instalará en “%APPDATA%\Chrome\Chrome.exe” y obtendrá persistencia en el dispositivo, posteriormente, permitirá que el usuario malicioso obtenga el registro de teclas, descargue archivos, ejecute código, obtenga información confidencial o se propague por medio de la red para instalar algún otro programa malicioso. Según los expertos, esta botnet también tiene una función para obtener transacciones de bitcoin, cambiando la dirección de la billetera por una controlada por el atacante.

Finalmente, es importante mencionar que en los últimos meses se ha visto que varios grupos maliciosos han incrementado su actividad por intentar aprovechar la falla en Oracle WebLogic, la cual fue corregida por la organización en el mes de octubre.

Nivel de riesgo

  • CVSS v3.1: 9.8 [Crítico]

Sistemas/tecnologías afectadas

  • Oracle WebLogic Server 10.3.6.0.0
  • Oracle WebLogic Server 12.1.3.0.0
  • Oracle WebLogic Server 12.2.1.3.0
  • Oracle WebLogic Server 12.2.1.4.0
  • Oracle WebLogic Server 14.1.1.0.

Medidas de erradicación

Referencias