Vulnerabilidades críticas en WebLogic Server de Oracle permiten ejecución remota de código sin necesidad de autenticación

Oracle emitió una actualización de seguridad fuera de banda durante el fin de semana para abordar una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a múltiples versiones de Oracle WebLogic Server. La vulnerabilidad de seguridad registrada como CVE-2020-14750 recibió una puntuación base de gravedad de 9,8 de Oracle, de una puntuación máxima de 10.

Los atacantes no autenticados pueden explotar de forma remota esta falla de RCE sin autenticación en el componente de la consola del servidor a través de HTTP, sin interacción del usuario, como parte de ataques de baja complejidad para potencialmente apoderarse de los servidores específicos.

«Se puede explotar de forma remota sin autenticación, es decir, se puede explotar a través de una red sin la necesidad de un nombre de usuario y contraseña. (…) Debido a la gravedad de esta vulnerabilidad y la publicación de código de explotación en varios sitios, Oracle recomienda encarecidamente que los clientes apliquen las actualizaciones proporcionadas por esta alerta de seguridad lo antes posible».

Oracle Security Advisory

Las versiones compatibles de Oracle WebLogic Server que se ven afectadas por CVE-2020-14750 incluyen

  • 10.3.6.0.0
  • 12.1.3.0.0
  • 12.2.1.3.0
  • 12.2.1.4.0
  • 14.1.1.0.0

Eric Maurice, Director de Garantía de Seguridad de Oracle, también compartió un enlace a las instrucciones de refuerzo de WebLogic Server en una publicación de blog publicada el domingo en la que se anunciaba la actualización de seguridad fuera de banda. Recientemente, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) también instó a los usuarios y administradores a aplicar la actualización de seguridad para bloquear posibles ataques.

Oracle también reporta que la vulnerabilidad está relacionada con CVE-2020-14882, otra falla crítica del servidor WebLogic 9.8 de cada 10 que se abordó en la actualización del parche crítico de octubre de 2020, hace dos semanas.

Como informó el medio de prensa BleepingComputer el jueves pasado, los ciberatacantes comenzaron a escanear en busca de instancias de Oracle WebLogic expuestas y vulnerables a CVE-2020-14882 una semana después de que fuera durante la actualización de parches críticos de este mes, según el Instituto de Tecnología SANS. Al igual que en el caso de CVE-2020-14750, las versiones vulnerables de Oracle WebLogic Server son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.

La recomendación de seguridad para los administradores de red es aplicar los parches de seguridad para las instancias WebLogic Server vulnerables. A continuación, los sitios web donde el fabricante detalla los parches a aplicar:

Referencias: