# CVE-2015-7450 > [!high] RCE por Deserialização Java no IBM WebSphere - Explorado pelo FIN13 > Vulnerabilidade de execução remota de código por deserialização insegura de objetos Java no IBM WebSphere Application Server, explorada pelo grupo financeiro **FIN13** em ataques prolongados contra o setor bancário mexicano. ## Visão Geral A [[cve-2015-7450|CVE-2015-7450]] é uma vulnerabilidade de deserialização Java insegura no IBM WebSphere Application Server. A falha é um caso clássico do problema de deserialização de objetos Java: ao processar dados serializados de fontes externas sem válidação adequada, o servidor permite a execução de código arbitrário — uma classe de vulnerabilidade que afetou dezenas de produtos Java EE no mesmo período. O grupo financeiro [[g1016-fin13|FIN13]] (também conhecido como Elephant Beetle) explorou esta e outras vulnerabilidades de deserialização Java em ataques prolongados — muitas vezes permanecendo por meses ou anos em ambientes bancários mexicanos e latino-americanos. O FIN13 é especialmente focado em sistemas financeiros da América Latina, com operações documentadas no México e expansão para Brasil e outros países da região. A relevância desta CVE ultrapassa sua data de públicação: sistemas IBM WebSphere legados continuam em operação em grandes bancos, sistemas de pagamento e infraestrutura governamental na América Latina, tornando a falha um vetor de ataque relevante anos após sua descoberta. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | IBM WebSphere Application Server | | Tipo | Deserialização Insegura de Objetos Java | | Versões | 7.0, 8.0, 8.5, 9.0 | | Vetor | Rede (sem autenticação) | | Exploração | FIN13 em ataques a bancos LATAM | | CVSS Base | 9.8 | ## Contexto FIN13 O [[g1016-fin13|FIN13]] é um grupo de ameaça com foco exclusivo em crime financeiro na América Latina: - **Geolocalização**: Operações documentadas no México, Brasil e outros países LATAM - **Setores**: Bancário, varejo, hospitalidade e sistemas de pagamento - **Persistência**: Média de permanência de 670 dias antes da detecção - **Objetivo**: Fraude financeira via acesso a sistemas bancários backend ## TTPs Relacionados - [[t1190-exploit-public-facing-application|T1190]] - Exploração de Aplicação Pública - [[t1059-001-powershell|T1059]] - Interpretador de Comandos - [[t1078-valid-accounts|T1078]] - Contas Válidas - [[t1005-data-from-local-system|T1005]] - Dados do Sistema Local ## Mitigação - Aplicar fixpack IBM para a versão afetada (disponível no IBM Fix Central) - Desabilitar deserialização Java de fontes não confiáveis via configuração WebSphere - Monitorar execução de processos filhos do servidor de aplicação (indicativo de RCE) - Auditar versões de WebSphere em produção — especialmente sistemas legados > [!latam] Relevância para Brasil e LATAM > O FIN13 é um dos grupos de ameaça mais relevantes específicamente para o setor financeiro latino-americano, com operações documentadas especialmente no México e expansão para o Brasil. O IBM WebSphere continua em uso em grandes bancos e sistemas financeiros governamentais na região. A combinação de software legado com exploits conhecidos é um risco operacional real que o setor financeiro brasileiro deve monitorar ativamente. ## Referências - [Mandiant - FIN13 analysis](https://www.mandiant.com/resources/blog/fin13-cybercriminal-group-targeted-financial-institutions) - [IBM Security Bulletin](https://www.ibm.com/support/pages/security-bulletin-vulnerability-apache-commons-affects-ibm-websphere-application-server-CVE-2015-7450) - [NVD - CVE-2015-7450](https://nvd.nist.gov/vuln/detail/CVE-2015-7450)