Vulnerabilidade no Oracle WebLogic Server (CVE-2021-2109) Resulta em Tomada Completa do Servidor
Índice:
Uma questão de execução remota de código de alta gravidade no Oracle Fusion Middleware Console permite a total invasão do Oracle WebLogic Server.
New Vulnerabilidade no Oracle WebLogic Server
A falha permite que um agente autenticado com altos privilégios utilize indevidamente o manipulador “JndiBinding” e lance uma injeção JNDI (Java Naming and Direction Interface). Isso, por sua vez, possibilita a recuperação e desserialização de uma classe maliciosa do servidor sob o controle do atacante, resultando em execução arbitrária de código no Oracle WebLogic Server.
Embora a rotina de exploração exija autenticação, o atacante pode contornar esse obstáculo aproveitando um método de travessia de diretório relacionado à execução remota de código anteriormente descoberta no WebLogic Server (CVE-2020-14882). Como resultado, o CVE-2021-2109 pode ser facilmente explorado por um hacker não autenticado através de uma única solicitação HTTP.
A vulnerabilidade recebeu uma pontuação de 7.2 de acordo com o CVSS Versão 3.1, classificando-a como um bug de alta gravidade. Notavelmente, falhas de segurança no Oracle WebLogic Server rapidamente atraem a atenção de atores de ameaças, aumentando as chances do CVE-2021-2109 ser explorado em campo.
A vulnerabilidade foi relatada à Oracle em 19 de novembro de 2020 pelo grupo de pesquisa de Segurança da Alibaba Cloud e corrigida pelo fornecedor em 20 de janeiro de 2021. As provas de conceito de exploração (tanto para atacantes autenticados quanto não autenticados) foram divulgadas em janeiro de 2021.
O bug afeta as seguintes versões suportadas do Oracle WebLogic Server: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Os usuários são urgentemente aconselhados a aplicar correções o mais rápido possível para prevenir possíveis tentativas de exploração.
Detecção de CVE-2021-2109
Para detectar a atividade maliciosa associada ao novo bug do Oracle WebLogic Server (CVE-2021-2109), você pode aplicar uma regra Sigma desenvolvida pelo desenvolvedor do SOC Prime Threat Bounty Emir Erdogan:
https://tdm.socprime.com/tdm/info/yY5BqZlgeBNl/JdjQcncBR-lx4sDxsiba/
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness, FireEye Helix, Humio, Graylog, LogPoint
EDR: Carbon Black
MITRE ATT&CK:
Táticas: Acesso Inicial
Técnicas: Exploração de Aplicação com Interface Pública (T1190)
Inscreva-se no Threat Detection Marketplace gratuitamente para acessar a biblioteca de conteúdo SOC curado com mais de 90.000 itens. Mais de 300 colaboradores de 70 países enriquecem a biblioteca a cada dia para que os profissionais de segurança possam detectar as ameaças cibernéticas mais alarmantes nas primeiras etapas do ciclo de vida do ataque. Tem interesse em participar de atividades de caça à ameaça e desenvolver suas próprias regras de detecção? Junte-se ao nosso programa Threat Bounty e seja recompensado por sua contribuição.
