Vulnerabilidad en Oracle WebLogic Server (CVE-2021-2109) Resulta en la Toma Completa del Servidor
Tabla de contenidos:
Un problema de ejecución remota de código de alta severidad en Oracle Fusion Middleware Console permite la completa compromisión del Oracle WebLogic Server.
New Vulnerabilidad del Oracle WebLogic Server
La falla permite que un actor autenticado con altos privilegios abuse del Manejador «JndiBinding» y lance una inyección JNDI (Java Naming and Direction Interface). Esto, a su vez, permite recuperar y deserializar una clase maliciosa desde el servidor bajo el control del atacante, lo que resulta en una ejecución arbitraria de código en el Oracle WebLogic Server.
Aunque la rutina de explotación requiere autenticación, el atacante podría superar este obstáculo aprovechando un método de recorrido de directorios relacionado con la ejecución remota de código previamente descubierta en WebLogic Server (CVE-2020-14882). Como resultado, CVE-2021-2109 podría ser fácilmente explotado por un hacker no autenticado mediante una única solicitud HTTP.
La vulnerabilidad recibió una puntuación de 7.2 según CVSS Versión 3.1, marcándola como un error de alta gravedad. Notablemente, los fallos de seguridad en Oracle WebLogic Server rápidamente captan la atención de los actores de amenazas, aumentando las posibilidades de que CVE-2021-2109 sea explotado en el entorno salvaje.
La vulnerabilidad fue reportada a Oracle el 19 de noviembre de 2020 por el grupo de investigación de seguridad de Alibaba Cloud y corregida por el proveedor el 20 de enero de 2021. Las pruebas de concepto de los exploits (tanto para atacantes autenticados como no autenticados) fueron publicadas en enero de 2021.
El error afecta las siguientes versiones soportadas de Oracle WebLogic Server: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Se insta a los usuarios a aplicar las actualizaciones tan pronto como sea posible para prevenir posibles intentos de explotación.
Detección de CVE-2021-2109
Para detectar la actividad maliciosa asociada con el nuevo error de Oracle WebLogic Server (CVE-2021-2109), puede aplicar una regla Sigma desarrollada por el desarrollador de SOC Prime Threat Bounty Emir Erdogan:
https://tdm.socprime.com/tdm/info/yY5BqZlgeBNl/JdjQcncBR-lx4sDxsiba/
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness, FireEye Helix, Humio, Graylog, LogPoint
EDR: Carbon Black
MITRE ATT&CK:
Tácticas: Acceso Inicial
Técnicas: Explotar Aplicación Expuesta al Público (T1190)
Regístrese en el Threat Detection Marketplace gratis para acceder a la biblioteca de contenidos SOC curados, que supera los 90,000. Más de 300 colaboradores de 70 países enriquecen la biblioteca cada día para que los ejecutores de seguridad puedan detectar las amenazas cibernéticas más alarmantes en las primeras etapas del ciclo de vida del ataque. ¿Tiene el deseo de participar en actividades de caza de amenazas y desarrollar sus propias reglas de detección? Únase a nuestro programa Threat Bounty y sea recompensado por su aporte.
