A Oracle alertou que os criminosos estão a explorar ativamente a vulnerabilidade corrigida recentemente CVE-2020-2883, e que afeta várias versões do Oracle WebLogic Server.
A vulnerabilidade permite a execução remota de código (RCE) não autenticado nas versões afetadas do Oracle WebLogic.
A vulnerabilidade acontece no protoclo propriatário da Oracle – T3. A falha pode ser alanvacada via um payload especialmente criado que explora uma deserialização de dados.
The vulnerability resides with Oracle’s proprietary T3 protocol, can be triggered with crafted data in a T3 protocol message leads to deserialization of untrusted data, reads ZDI’s advisory.
Um atacante pode aproveitar a vulnerabilidade para executar o código no contexto do processo atual que executa o WebLogic.
Um investigador afirma ter um código de prova de conceito válido para explorar o bug e publicou-o no GitHub.
O exploit publicado cobre as seguintes vulnerabilidades: CVE-2020-2546, CVE-2020-2915, CVE-2020-2801, CVE-2020-2798, CVE-2020-2883, CVE-2020-2884, CVE-2020-2950.
Oracle Director of Security Assurance Eric Maurice, said that “they have recently received reports of attempts to maliciously exploit several recently-patched vulnerabilities, including vulnerability CVE-2020-2883, which affects multiple versions of Oracle WebLogic Server.”
Criminosos podem agora explorar a vulnerabilidade como meio de comprometer redes corporativas e implantar malware.
Através desse cenário pode ser depois exfiltrada informação sensível de redes corporativas e no final, os criminosos costumam fazer o deploy de ransomware, soliciitando um resgate dos dados baseado no tipo de informação acedida.