Brecha em plataforma da Oracle está sendo usada para sequestrar servidores

Por Ramon de Souza | 01 de Dezembro de 2020 às 20h20
Pete Linforth

Muitas vezes, um sistema só é atacado por criminosos cibernéticos por puro desleixo da empresa ou do profissional responsável pelo próprio, que ignora atualizações de segurança e permanece vulnerável por conta de brechas para as quais já foram lançadas correções. Este é o caso, por exemplo, de centenas de servidores criados na plataforma WebLogic, da Oracle, que estão suscetíveis a invasões por conta de uma vulnerabilidade já consertada.

A situação é a seguinte: alguns meses atrás, a Oracle identificou um bug gravíssimo no WebLogic, que é sua ferramenta para criar servidores de aplicações Java. A falha foi registrada pelo código CVE-2020-14882 e um patch corretivo foi emitido pela empresa já no mês de outubro. Porém, como todos nós sabemos, ainda há quem ignore tais atualizações e continue vulnerável a ataques.

No caso do CVE-2020-14882 (que afeta as compilações 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0 do WebLogic), agentes maliciosos conseguem executar códigos maliciosos dentro dos servidores desprotegidos, sequestrando-os para roubar dados, minerar criptomoedas e até mesmo torná-los parte de um exército “zumbi” empregado para ataques de negação de serviço (ou seja, tirar outros sites do ar).

imagem: Reprodução/Ars Technica

Para as empresas, o maior risco de se tornar uma vítima é, naturalmente, ter dados sensíveis sequestrados pelos meliantes ou ter seu servidor sequestrado por um ransomware. Já o consumidor final dificilmente verá algum impacto direto — no máximo, caso utilize algum serviço online que seja hospedado em um servidor WebLogic, poderá perceber uma leve degradação no desempenho da aplicação.

Segundo Paul Kimayong, pesquisador da Juniper Networks, o malware mais usado pelos criminosos que estão se aproveitando da brecha é o DarkIRC, um verdadeiro “canivete-suíço” capaz de realizar todas as atividades descritas anteriormente. Porém, também foram observados casos em que os atacantes usaram outras variantes como o Cobalt Strike, o Perlbot, o Meterpreter e o Mirai.

É muito fácil evitar ser mais uma vítima — se você estiver usando alguma das compilações do WebLogic citadas anteriormente, basta instalar o mais recente patch de segurança liberado pela Oracle.

Fonte: Ars Technica

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.