Por: René Ruiz
Los servidores de aplicaciones forman un papel importante al actuar como plataformas para el desarrollo, implementación e integración de aplicaciones facilitando las funciones de conexión, integración y seguridad. Es bien sabido que Oracle WebLogic Server es uno de los servidores de aplicaciones más famosos que se utiliza para crear, expandir y administrar aplicaciones Java EE. Siendo posible no solo soportar la ejecución de aplicaciones customizadas sino también la ejecución de gran parte del portafolio de soluciones a nivel aplicación de Oracle, generando una solución robusta que permite una amplia gama de recursos.
Pero bien dicen que un gran poder conlleva una gran responsabilidad, es también muy conocido que WebLogic es de las plataformas de su tipo más vulneradas por los ciberatacantes quienes buscan siempre una nueva forma de entrar a los sistemas, basta buscar palabras como Weblogic, Vulnerability y sin importar en la fecha que leas esto encontrarás alguna nota reciente sobre alguna nueva manera que se encontró para vulnerar el sistema y esto muchas veces anteriormente no era tan preocupante para el negocio, quien no recuerda haber querido realizar alguna actualización de seguridad y haber recibido la negativa de parte del cliente al considerar que no era necesario puesto que sus servicios no estaban publicados a internet o simplemente se negaban ante la posibilidad de que una actualización solo les provocaría que sus aplicaciones dejaran de funcionar tal cual lo hacían, sin embargo cada vez nos acercamos mas a soluciones que generan que estas aplicaciones esten expuestas en la nube.
De acuerdo con La Global Deception Network, una red distribuida en todo el mundo a manera de cebo que ejecuta servicios que atraen a los bots que intentan comprometer, vulnerar y hackear miles de computadoras. Para el 2019 Weblogic represento un 7% de los ataques a servicios web y quizá no represente un número muy grande comparado con plataformas como ThinkPHP (25%) y WordPress (14%) pero recordemos que WebLogic está orientado a aplicaciones empresariales y esto cambia la percepción y el riesgo de estos ataques.
Para dar un ejemplo la última vulnerabilidad detectada en Octubre para WebLogic (CVE-2020-14882) permite a los atacantes tomar control total del sistema afectado sin necesidad de autenticación por medio de una cadena de texto recibida como parámetro en algunas peticiones que permiten crear nuevas instancias, esta falla lo ubica en el rango 9.8 de 10 en la escala CVSS ( Common Vulnerability Scoring System) que es un sistema de puntaje que mide la severidad de las vulnerabilidades de acuerdo a las características, impacto y severidad de vulnerabilidades. Esta alerta lanzada por la Internet Storm Center (ISC) pone en jaque a todos los administradores y sus consolas de Weblogic en el mundo que tengan versiones 10.3.6, 12.1.3, 12.2.1.3, 12.2.1.4, 14.1.1, y contengan servicios expuestos en la web. Se podría pensar que son pocos pero al corte Octubre 2020 realizado por Rapid7 Labs son al menos 2000 Consolas de Weblogic publicadas en su puerto por defecto 7001 que están expuestas en la red de las cuales al menos 500 de ellas son potencialmente vulnerables a este ataque. La solución de Oracle ante estas situaciones es la ejecución de un parche de seguridad critico (CPU) junto con la recomendación de correrlo tan rápido como sea posible.
La pregunta aquí es ¿Cuántos de nosotros conocíamos esa vulnerabilidad? ¿Cuántos ya la hemos corregido? Así como este ejemplo existen varios más a la orden del día. Weblogic siempre está expuesto a ataques de vulnerabilidad y es nuestro deber como sysadmins mantener actualizados y seguros nuestros servidores de aplicaciones.
Ya decía un profesor mío en la universidad “Si quieres que tu aplicación no sea susceptible a ataques informáticos, desconéctalo de la red, apágalo y colócalo en una caja fuerte, solo así será completamente seguro” pero como no podemos hacer eso, nuestra responsabilidad es estar siempre al día. ¿Tú lo estas?
