# CVE-2023-21839 > [!high] RCE no Oracle WebLogic - Explorado pelo 8220 Gang para Cryptomining > Vulnerabilidade de acesso não autorizado no Oracle WebLogic Server que permite execução remota de código sem autenticação. Amplamente explorada pelo grupo **8220 Gang** para implantação de mineradores de criptomoedas. ## Visão Geral A [[cve-2023-21839|CVE-2023-21839]] é uma falha de acesso não autorizado no protocolo T3/IIOP do Oracle WebLogic Server. Servidores vulneráveis expostos à internet podem ser comprometidos sem autenticação, permitindo ao atacante executar código arbitrário no servidor com os privilégios do processo WebLogic. Esta vulnerabilidade se tornou um vetor preferido do [[8220-gang|8220 Gang]], um grupo de ameaça focado em cryptojacking (mineração de criptomoedas não autorizada). O grupo varre ativamente a internet em busca de instâncias WebLogic vulneráveis e as compromete para instalar o minerador XMRig, consumindo recursos computacionais das vítimas para gerar Monero (XMR). No contexto LATAM, o Oracle WebLogic é amplamente utilizado em infraestruturas de grande porte — bancos, utilities e sistemas de ERP corporativo — tornando esta CVE especialmente relevante para organizações brasileiras e latino-americanas que mantêm servidores Java EE. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | Oracle WebLogic Server | | Tipo | Acesso Não Autorizado / RCE | | Protocolo Afetado | T3, IIOP | | Vetor | Rede, sem autenticação | | Exploração Ativa | Sim (8220 Gang) | | CVSS Base | 7.5 | ## Versões Afetadas - Oracle WebLogic Server 12.2.1.3.0 - Oracle WebLogic Server 12.2.1.4.0 - Oracle WebLogic Server 14.1.1.0.0 ## TTPs Relacionados - [[t1190-exploit-public-facing-application|T1190]] - Exploração de Aplicação Pública - [[t1059-006-python|T1059]] - Interpretador de Comandos e Scripts - [[t1496-resource-hijacking|T1496]] - Sequestro de Recursos (cryptomining) - [[t1105-ingress-tool-transfer|T1105]] - Transferência de Ferramenta ## Mitigação - Aplicar Critical Patch Update da Oracle (janeiro 2023) imediatamente - Restringir acesso ao protocolo T3/IIOP no firewall se não utilizado externamente - Monitorar picos de CPU como indicativo de mineração não autorizada - Implementar controle de acesso baseado em rede para portas WebLogic (7001, 7002) > [!latam] Relevância para Brasil e LATAM > O Oracle WebLogic é amplamente utilizado em grandes bancos e corporações brasileiras. O 8220 Gang tem demonstrado interesse especial em infraestrutura de nuvem e servidores expostos na América Latina. Organizações que mantêm WebLogic acessível pela internet sem os patches de janeiro 2023 aplicados devem considerar comprometimento como possível. ## Referências - [Oracle Critical Patch Update - Janeiro 2023](https://www.oracle.com/security-alerts/cpujan2023.html) - [NVD - CVE-2023-21839](https://nvd.nist.gov/vuln/detail/CVE-2023-21839) - [Unit 42 - 8220 Gang WebLogic analysis](https://unit42.paloaltonetworks.com/8220-gang-cryptomining/)