TLP: Amber
NIVEL DE RIESGO CVSSv3.0 – 9.8 [Crítico]
Acción Requerida: Aplicar las actualizaciones publicadas por Oracle a los productos afectados.
Vector de ataque: Remoto.
Impacto: Ejecución de código.

Descripción

Investigadores de una firma de seguridad han detectado la distribución de un nuevo programa malicioso del tipo troyano de acceso remoto (RAT), quien aprovecha la vulnerabilidad presente en Oracle WebLogic, la cual tiene asignada el identificador CVE-2019-2725 (CVSS v3.0 9.8 [Crítico]).

Dicha falla afecta a las versiones 10.3.6.0.0 y 12.1.3.0.0.0 de Oracle Weblogic y puede permitir que un usuario ejecute código de manera remota en el dispositivo afectado, sin requerir autenticación.

De acuerdo con las investigaciones, el programa agrega la carga útil del RAT en el sistema para la descarga y ejecución de este, posteriormente la pieza genera persistencia en el equipo y se conecta al servidor Comando y Control (C&C) del atacante y envía información del equipo, como las características del hardware y configuraciones de red. Finalmente aprovecha el fallo en Oracle Weblogic y le permite al atacante ejecutar código en el dispositivo afectado y así realizar diferentes acciones maliciosas en la red.

A pesar de las funcionalidades que posee en la actualidad este RAT, se considera que aún está en etapa de desarrollo, sin embargo, por las características que tiene, su distribución se la ha atribuido a los desarrolladores de PowerGhost, pieza maliciosa que realiza minado de criptomonedas y que ha afectado a diferentes organizaciones en Brasil, Colombia, India, Turquía, México, Perú y Ecuador.

Nivel de riesgo

  • CVSS v3.0: 9.8 [Crítico]

Sistemas/tecnologías afectadas:

  • Oracle WebLogic Server 10.3.6.0
  • Oracle WebLogic Server 12.1.3.0

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • Direcciones IP
    • 185[.]234[.]218[.]247
    • 185[.]128[.]41[.]90
  • MD5
    • 48f0de466c907cfb202f006bb0ff0d0b
    • 69fbdbabb32747158b215089485dd2a2
    • 1e8247d9f7f3f4fe8f1c097094d7ff08
    • e5cc6c2f8cda8356b93a3b96e9ea833e
  • SHA-1
    • fc594723788c545fae34031ab6abe1e0a727add4
    • 26a70988bd873e05018019b4d3ef978a08475771
    • add4db43896f65d096631bd68aa0d1889a5ff012
    • 5b2275e439f1ffe5d321f0275711a7480ec2ac90
    • e457b6f24ea5d3f2b5242074f806ecffad9ab207
  • SHA-256
    • e0d1a482b4df92def48cf714584fa417ce914b50ee28cc595bbf89bad76429d1
    • 59fa110c24920aacbf668baacadce7154265c2a3dca01d968f21b568bda2130b
    • 371ce879928eb3f35f77bcb8841e90c5e0257638b67989dc3d025823389b3f79
  • URLs
    • hxxp[:]//box[.]conf1g[.]com/l/sodd/Security[.]Guard
    • hxxp[:]//box[.]conf1g[.]com/l/sodd/ver
    • hxxp[:]//log[.]conf1g[.]com:53
    • hxxp[:]//box[.]conf1g[.]com/l/sodd/Security[.]Script
  • Dominios
    • log[.]conf1g[.]com
    • box[.]conf1g[.]com

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Mantener actualizadas las herramientas de antimalware.

Medidas de erradicación

  • Aplicar las actualizaciones de seguridad liberadas por Oracle.

Referencias