Vulnerabilidad en Oracle Web Server Logic
En el mes de agosto de 2020, Oracle publicó una alerta de seguridad en la que incluían muchas vulnerabilidades de diferentes severidades, desde bajas hasta críticas. Entre ellas se encontraba una vulnerabilidad en su producto Oracle WebLogic Server, denominada CVE-2020-14644, con una severidad de 9.8, convirtiéndola en una vulnerabilidad crítica. Esta CVE permitía la ejecución de código remoto sin que se necesitara autorización, a través de la red mediante IIOP (Internet Inter-Orb Protocol), un protocolo que se usa para la comunicación entre componentes de software distribuidos a través de sistemas en red. Además, también se puede explotar la vulnerabilidad mediante el protocolo T3, un componente importante para la comunicación interna de WebLogic Server. [1][2]
Las razones por las que esta vulnerabilidad es tan severa se deben a que tiene una baja complejidad de ataque, lo que significa que no requiere mucho esfuerzo explotarla. Además, no se necesitan privilegios de ningún tipo ni la interacción del usuario con el equipo. Aunado a esto, las consecuencias de la explotación exitosa de este CVE pueden resultar en el control total del servidor de Oracle WebLogic Server, por lo que tiene un score de 9.8. [1][2]
A pesar de que esta vulnerabilidad tiene ya poco más de 4 años, recientemente, en septiembre de 2024, la CISA publicó una actualización sobre esta vulnerabilidad, confirmando que se tiene registro de que está siendo explotada por actores maliciosos, lo que deja en claro que no importa si una vulnerabilidad tiene tiempo de haber sido descubierta: los atacantes aprovecharán cualquier oportunidad para irrumpir en las organizaciones. [3]
Versiones Afectadas
Las versiones afectadas por esta vulnerabilidad son las siguientes:
- 12.2.1.3.0
- 12.2.1.4.0
- 14.11.0.0
Recomendaciones
- Instalar el parche de seguridad “July 2020 Critical Patch Update” https://support.oracle.com/rs?type=doc&id=2664876.1
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- ORACLE. (2020, julio) Oracle Critical Patch Update Advisory - July 2020. Recuperado el 23 de septiembre del 2024 en: https://www.oracle.com/security-alerts/cpujul2020.html#AppendixFMW.
- ORACLE (2020, julio) Text Form of Oracle Critical Patch Update - July 2020 Risk Matrices. Recuperado el 23 de septiembre del 2024 en: https://www.oracle.com/security-alerts/cpujul2020verbose.html#FMW.
- America´s Cyber Defense Agency. (2024, septiembre 9) Known Exploited Vulnerabilities Catalog. Recuperado el 23 de septiembre del 2024 en: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
