A Agência de Cibersegurança e Segurança de Infraestruturas dos Estados Unidos emitiu uma diretiva para as agências governamentais protegerem os seus sistemas contra uma vulnerabilidade grave no Oracle WebLogic Server. Segundo o alerta publicado pela CISA, a falha de segurança resolvida há dois anos está agora a ser ativamente explorada por piratas informáticos, exigindo uma resposta imediata.
Perigos da vulnerabilidade e sistemas expostos
O Oracle WebLogic Server atua como um servidor de aplicações Java de nível empresarial e é frequentemente utilizado como middleware para plataformas distribuídas de grande dimensão. Identificada como CVE-2024-21182, esta vulnerabilidade permite que agentes maliciosos sem privilégios comprometam os sistemas de forma remota, recorrendo a ataques de baixa complexidade.
O problema afeta especificamente as versões 12.2.1.4.0 e 14.1.1.0.0. A Oracle já tinha alertado em julho de 2024 que o acesso não autenticado através de protocolos T3 e IIOP poderia resultar no acesso não autorizado a informações vitais ou no controlo total da infraestrutura visada.
Exigências federais e histórico de ameaças
De acordo com os dados recolhidos pela plataforma de inteligência Shodan, existem atualmente mais de 1500 instâncias deste servidor expostas online e vulneráveis a exploração direta. Face a este cenário, a agência norte-americana ordenou que as entidades federais apliquem os respetivos patches até à meia-noite do dia 4 de junho, conforme estipulado pela diretiva operacional vinculativa BOD 22-01.
Embora esta diretiva se aplique primariamente ao governo, as organizações do setor privado foram fortemente aconselhadas a atualizar as suas redes o mais rapidamente possível, de forma a mitigar riscos severos de segurança. O cadastro das autoridades norte-americanas refere que dezenas de vulnerabilidades em produtos da fabricante foram exploradas ativamente nos últimos anos, algumas das quais resultaram em incidentes de ransomware. Os pormenores técnicos adicionais podem ser consultados no boletim da NVD.
Nenhum comentário
Seja o primeiro!