La mayoría de los profesionales que se dedican a la operación de sistemas informáticos y a la seguridad de la información, conocen la importancia del “Martes de parches de Microsoft“. La causa de ello es que el segundo martes de cada mes, la compañía tecnológica publica una actualización acumulativa que corrige las últimas vulnerabilidades encontradas en sus productos.
Aunque no son tan conocidas, principalmente por el número de sistemas afectados, Oracle también ofrece actualizaciones periódicas de seguridad. En este caso trimestrales, publicándose el martes más próximo al día 17 de los meses de enero, abril, julio y octubre. Estas actualizaciones son conocidas con el nombre de “Actualizaciones Críticas” (CPU del inglés Critical Patch Update). La información sobre todas las actualizaciones críticas y alertas de seguridad publicadas previamente, junto con los enlaces para descargar parches de seguridad, se publica en la página https://www.oracle.com/es/security-alerts/
Productos afectados por las CPU de octubre
Las actualizaciones de seguridad suman un total de 402. Si bien algunas vulnerabilidades han sido descubiertas este año 2020, otras datan de años anteriores (2015, 2016, 2017, 2018, y 2019).
Las vulnerabilidades más importantes han recibido una valoración de 10.0 (CVSSv3) por parte de Oracle, así como un gran número de vulnerabilidades han sido clasificadas con una puntuación de 9.8, en una escala de 0 a 10.
A continuación, se muestran los principales productos de Oracle incluidos en el aviso de seguridad. No obstante, hay que tener en cuenta que hay muchas otras versiones y productos afectados, por lo que se recomienda consultar la información proporcionada por Oracle para obtener más detalles.
La vulnerabilidad de Oracle Weblogic Server
Oracle WebLogic Server es un servidor de aplicaciones Java EE, y también un servidor web HTTP muy popular que se utiliza para crear y desplegar aplicaciones empresariales. El componente de la consola del servidor WebLogic tiene distintos fallos de seguridad entre los que destaca el identificado como CVE-2020-14882, con un valor de 9,8 en la escala CVSS.
Según Oracle, el ataque que podría aprovecharse de esta vulnerabilidad es de baja complejidad ya que no requiere privilegios ni interacción del usuario, y además puede ser explotado por atacantes con acceso a la red a través de HTTP.
El Instituto de Tecnología SANS ha realizado una investigación mediante la exposición de servidores Weblogic en varios honeypots, la cual ha tenido como resultado el descubrimiento de distintos intentos de ataque provenientes de China, Moldavia, EEUU y Hong Kong. Según los investigadores de SANS, los intentos de explotación registrados por los honeypots sólo verifican si el sistema es vulnerable, y podrían estar basados en un exploit programado en Python publicado por el vietnamita Nguyen Jang.
Una búsqueda realizada con el motor Spyse para escanear y recopilar información de reconocimiento de los activos expuestos muestra que hay más de 3.000 servidores Oracle WebLogic accesibles a través de Internet y potencialmente vulnerables a CVE-2020-14882.
Recomendaciones
El Equipo del CCN-CERT español recomienda verificar si alguno de los productos afectados está incluido en los equipos o servidores que se encuentren en uso, y aplicar lo antes posible las actualizaciones con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Para aquellos servidores que no puedan ser actualizados a corto plazo existen en el mercado distintos fabricantes que facilitan parcheo virtual de vulnerabilidades. Este tipo de soluciones tiene varias ventajas como el que no hay que modificar el código fuente, que reduce el tiempo de inactividad que suponen las actualizaciones, y que protege instantáneamente.
Fuentes: