Oracle alerta que RCE do WebLogic tem sido explorado in-the-wild.

A Oracle alertou que os criminosos estão a explorar ativamente a vulnerabilidade corrigida recentemente CVE-2020-2883, e que afeta várias versões do Oracle WebLogic Server.

A vulnerabilidade permite a execução remota de código (RCE) não autenticado nas versões afetadas do Oracle WebLogic.

A vulnerabilidade acontece no protoclo propriatário da Oracle – T3. A falha pode ser alanvacada via um payload especialmente criado que explora uma deserialização de dados.

The vulnerability resides with Oracle’s proprietary T3 protocol, can be triggered with crafted data in a T3 protocol message leads to deserialization of untrusted data, reads ZDI’s advisory.

 

Um atacante pode aproveitar a vulnerabilidade para executar o código no contexto do processo atual que executa o WebLogic.

Um investigador afirma ter um código de prova de conceito válido para explorar o bug e publicou-o no GitHub.

 

O exploit publicado cobre as seguintes vulnerabilidades: CVE-2020-2546, CVE-2020-2915, CVE-2020-2801, CVE-2020-2798, CVE-2020-2883, CVE-2020-2884, CVE-2020-2950.

Oracle Director of Security Assurance Eric Maurice, said that “they have recently received reports of attempts to maliciously exploit several recently-patched vulnerabilities, including vulnerability CVE-2020-2883, which affects multiple versions of Oracle WebLogic Server.”

 

Criminosos podem agora explorar a vulnerabilidade como meio de comprometer redes corporativas e implantar malware.

Através desse cenário pode ser depois exfiltrada informação sensível de redes corporativas e no final, os criminosos costumam fazer o deploy de ransomware, soliciitando um resgate dos dados baseado no tipo de informação acedida.