# CVE-2019-2725 > [!critical] Deserialização RCE Crítico no Oracle WebLogic - CISA KEV > CVE-2019-2725 é uma vulnerabilidade crítica de deserialização não autenticada no Oracle WebLogic Server explorada massivamente por grupos APT, cryptominers e ransomware para execução remota de código desde 2019, permanecendo ativa em ataques oportunistas até os dias atuais. ## Visão Geral CVE-2019-2725 é uma vulnerabilidade de deserialização Java no componente `wls9_async_response` do Oracle WebLogic Server. Permite que qualquer atacante remoto sem credenciais execute código arbitrário enviando uma requisição HTTP POST especialmente criada ao endpoint afetado. A exploração não requer interação do usuário e resulta em execução de código com os privilégios do processo WebLogic. Esta vulnerabilidade tornou-se um alvo de exploração em massa imediatamente após a divulgação em abril de 2019. Grupos de cryptomining foram os primeiros exploradores em escala, seguidos por atores de ransomware como [[revil-ransomware|REvil]] e grupos APT como [[g0045-menupass|menuPass]]. O módulo de exploit foi rapidamente incorporado em frameworks de ataque automatizados, tornando a exploração trivial. CVE-2019-2725 está na CISA KEV e continua sendo explorada contra instâncias WebLogic não atualizadas — especialmente relevante dado que muitas organizações mantêm versões legadas do WebLogic em execução por dependências de aplicações críticas. > [!latam] Relevância para o Brasil > O Oracle WebLogic é amplamente usado por bancos, seguradoras e empresas do setor público brasileiro. Instâncias legadas das versões 10.3.6 e 12.1.3 são comuns em ambientes com baixo ciclo de atualização. Grupos de ransomware com foco em LATAM, incluindo operadores do **REvil** e sucessores, documentaram uso desta CVE como vetor de acesso inicial em ataques contra organizações brasileiras. ## Detecção e Defesa - Aplicar patch Oracle imediatamente ou bloquear acesso ao endpoint `/_async/*` e `/wls-wsat/*` — [[m1051-update-software|M1051 Update Software]] - Restringir acesso aos endpoints WebLogic de gestão por firewall — [[m1030-network-segmentation|M1030]] - Monitorar requests POST para `/_async/AsyncResponseService` e `/wls-wsat/CoordinatorPortType` — [[t1190-exploit-public-facing-application|T1190]] - Implementar WAF com regras específicas para deserialização Java WebLogic — [[m1031-network-intrusion-prevention|M1031]] - Revisar processos filhos criados a partir do Java WebLogic por execução de comandos suspeitos — [[t1059-command-and-scripting-interpreter|T1059]] - Verificar presença de mineradores de criptomoeda ou webshells como indicadores de comprometimento — [[t1505-server-software-component|T1505]] ## Referências - [Oracle Security Alert CVE-2019-2725](https://www.oracle.com/security-alerts/alert-CVE-2019-2725.html) - [CISA KEV - CVE-2019-2725](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [NVD - CVE-2019-2725](https://nvd.nist.gov/vuln/detail/CVE-2019-2725)