Llegamos a ustedes gracias a:



Alertas de Seguridad

Investigadores advierten de una vulnerabilidad

Sin parches en Oracle WebLogic Server

[29/04/2019] Varias empresas de seguridad han detectado escaneos durante la última semana que buscan servidores Oracle WebLogic vulnerables a una falla que aún no ha sido corregida, posiblemente en preparación para ataques maliciosos. La vulnerabilidad es un error de deserialización que puede llevar a la ejecución remota de código, pero se encuentra en un paquete específico llamado wls9_async_response que no está incluido de forma predeterminada en todas las versiones del servidor WebLogic. Por lo tanto, es probable que los atacantes ejecuten estas pruebas para identificar primero los servidores con este componente habilitado para que puedan atacar más tarde.

Los primeros en reportar la vulnerabilidad sin parches -de día cero- fueron investigadores de una compañía con sede en China llamada KnownSec; sin embargo, su publicación en Medium pasó en gran medida desapercibida hasta que investigadores de otras compañías como F5 Networks y Waratek también emitieron alertas.

Según un análisis realizado por el SANS Internet Storm Center (ISC), es posible que no se trate de una vulnerabilidad completamente nueva, sino de un nuevo método para evitar las protecciones que Oracle puso en marcha el año pasado para una falla más antigua. El número CVE para esto es CVE-2018-2628, que fue identificado como parcheado el año pasado, señaló el handler de ISC, Rob VandenBrink, en una entrada del blog. "Sin embargo, el POC [proof of concept exploit] mencionado era contra un servidor parcheado, así que supongo que el parche no está completo -ni se le puede dar el enfoque de Oracle contra este problema".

En la programación, la serialización es el proceso de convertir los datos a un formato binario para una transmisión segura a través de la red. Cuando una aplicación recibe estos datos, los convierte de nuevo en su forma original, un proceso conocido como deserialización.

El análisis de entradas no confiables controladas por el usuario ha sido históricamente una de las principales causas de vulnerabilidades en las aplicaciones, y la deserialización no es diferente porque los atacantes pueden generar entradas serializadas maliciosamente diseñadas para ser procesadas por una aplicación.

Parece que Oracle adoptó un enfoque de lista negra para solucionar este problema en el pasado, que se basa en el bloqueo de comandos potencialmente peligrosos. Sin embargo, las correcciones de vulnerabilidades que se basan en listas negras rara vez son permanentes, porque los atacantes pueden encontrar formas de eludir esas restricciones, y esto ha ocurrido con las correcciones de WebLogic en el pasado.

A principios de este mes, Oracle publicó su lote trimestral de parches de seguridad, por lo que no se espera otro hasta dentro de tres meses. No está claro si la compañía planea emitir una solución fuera de banda para este defecto y aún no ha confirmado públicamente el problema.

Oracle WebLogic es un servidor de aplicaciones Java que utilizan muchas empresas para crear e implantar aplicaciones empresariales. Su popularidad y uso generalizado lo han convertido en un objetivo en el pasado.

Una antigua vulnerabilidad de deserialización de datos XML en Oracle WebLogic, conocida como CVE-2017-10271, se ha utilizado en el pasado para poner en peligro los servidores de la empresa e instalar en ellos malware de minería de criptocurrency. Sin embargo, las aplicaciones que normalmente se ejecutan en estos servidores también contienen datos confidenciales, por lo que estos ataques también pueden provocar graves filtraciones de datos.

Según SANS ISC, hasta que se libera un parche, los administradores de servidor pueden restringir el acceso a las rutas Z/_async/* y /wls-wsat/* en sus servidores o pueden eliminar el componente wls9_async_response.war.