CISA alerta para exploração ativa de falha no Oracle WebLogic

A Agência de Cibersegurança e Segurança das Infraestruturas dos Estados Unidos (CISA) alertou para a exploração ativa da vulnerabilidade CVE-2024-21182, uma falha crítica que afeta o Oracle WebLogic Server e que pode ser explorada remotamente sem autenticação.

A vulnerabilidade foi corrigida pela Oracle em julho de 2024, através da atualização Critical Patch Update (CPU), mas continua a representar um risco para organizações que não aplicaram as correções disponibilizadas pelo fabricante.

Segundo a CISA, um atacante remoto pode explorar a falha para obter acesso não autorizado a dados críticos ou comprometer totalmente as informações acessíveis através de instâncias vulneráveis do Oracle WebLogic Server.

A agência norte-americana adicionou a CVE-2024-21182 ao catálogo Known Exploited Vulnerabilities (KEV) a 1 de junho, indicando que já existem evidências de exploração em ambiente real.

Embora tenham sido disponibilizadas várias provas de conceito (PoC) desde a divulgação da vulnerabilidade, a CISA é a primeira entidade a confirmar publicamente a sua exploração ativa. Até ao momento não foram divulgados detalhes sobre os grupos responsáveis pelos ataques nem sobre os setores afetados.

A vulnerabilidade foi identificada e reportada de forma independente por vários investigadores de segurança, segundo a documentação da Oracle.

A inclusão da falha no catálogo KEV levou a CISA a exigir que as agências federais norte-americanas implementem as correções até 4 de junho.

O Oracle WebLogic Server continua a ser um alvo frequente de ciberataques devido à sua utilização em aplicações empresariais críticas. O catálogo KEV da CISA inclui atualmente mais de uma dezena de vulnerabilidades relacionadas com esta plataforma.

A maioria dessas falhas foi corrigida pela Oracle há vários anos, mas continua a ser explorada por atacantes devido à existência de sistemas desatualizados expostos à Internet.

Perante a confirmação de exploração ativa, especialistas recomendam a aplicação imediata das atualizações de segurança disponibilizadas pela Oracle e a verificação de possíveis indícios de comprometimento em servidores WebLogic expostos.