TLP: White

Nivel de riesgo CVSS v3: 9.8 [Critico]

Vector de ataque: Acceso remoto
Objetivo: Aprovechar una vulnerabilidad día cero para ejecutar codigo de manera remota.

DESCRIPCIÓN

Se ha identificado una vulnerabilidad de deserialización que permite la ejecución remota de comandos mediante una petición HTTP en el servicio WebLogic de Oracle, la cual puede ser aprovechada sin autenticación de usuarios. La causa raíz de está vulnerabilidad se encuentra en el paquete “wls9_async_response.war” (que no es incluido de manera predeterminada en todas las implementaciones), en particular se localiza en los componentes wls9_async y wls-wsat.

La vulnerabilidad fue divulgada de forma inicial por “China Misheng Banking Co” y está catalogada como CVE-2019-2725, la cual fue reportada a Oracle por varias organizaciones principalmente de China.

PRUEBA DE CONCEPTO

Se identificó una Prueba de Concepto (PoC) en la plataforma GitHub realizada por el usuario “jas502n” que fue actualizada hace 10 días, la cual puede aprovechar la vulnerabilidad mediante un script en Python que permite subir una backdoor a un servidor vulnerable, con solo tener identificado la dirección IP y el puerto de comunicación. La URL de intéres se encuentra en la sección de referencias de este documento.

NIVEL DE RIESGO

  • Nivel de riesgo – CVSS v3: 9.8 [Critico].

SISTEMS/TECNOLOGÍAS AFECTADAS:

  • Servidores Oracle WebLogic que ejecutan las versiones 10.3.6.0.X y 12.1.3.0.X

MEDIDAS DE CONTENCIÓN

  • Establecer reglas de control de acceso a los directorios dentro del sitio Web “Z/_async/*” y “/wls-wsat/*”.
  • Eliminar el archivo “wls9_async_response.war”.

MEDIDAS DE ERRADICACIÓN

  • Se ha publicado una actualización de emergencia el pasado 26 de abril de 2019. La cual se encuentra disponible desde la plataforma de actualizaciones del fabricante.

REFERENCIAS