聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
CVE-2020-14882 已遭攻击,请用户立即打补丁。
CVE-2020-14882 时间线
Oracle WebLogic Server 是一款流行的应用服务器,用于构建和部署企业 Java EE 应用。
北京时间2020年10月21日,Oracle 发布了今年第四季度的关键安全补丁更新(CPU) 公告,共修复了遍布多个产品线的421个漏洞,其中包含存在于 Oracle WebLogic Server 组件 Console 中的无需认证的远程代码执行漏洞,CVSS 评分为 9.8,攻击复杂性为“低”,拥有网络访问权限的攻击者通过 HTTP 即可利用该漏洞,无权限要求也无需用户交互。
北京时间10月29日凌晨2点左右,一名昵称为 “Jang” 的越南推特用户发布一篇博客文章(越南语),公开了关于该漏洞的 PoC。
北京时间2020年10月29日深夜,SANS 技术研究所的研究主任 Johannes B. Ullrich 发布了一篇名为《立即修复:CVE-2020-14882 Weblogic 正在活跃利用蜜罐》的博客文章指出,PoC 公开后,蜜罐已遭该漏洞攻击。
受影响版本
Oracle 在 CPU 公告中指出,受影响版本为:
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
北京时间10月30日凌晨5点30分左右,Rapid7 Labs 发布博客指出,他们在今天从 HTTP 端口7001 上发现了2000多个 WebLogic Console 端点,涉及大量版本分布:
已遭利用
Ullrich 在文章中指出,该漏洞易遭利用,“目前扫描活动有所降低,但已达‘饱和’状态,意味着攻击者已经在所有的 IPv4 地址中扫描这个漏洞。如果在网络中发现易受攻击的服务器,那么可能已遭攻陷“。
文章还指出,目前这些攻击尝试只是验证系统是否易受攻击,迄今为止蜜罐尚未返回“正确的“响应,也未发现后续请求。目前发现的攻击尝试源自四个 IP 地址。文章指出,目前仍在调查中。
补丁和缓解措施
运行 Oracle WebLogic Server 的组织机构应当尽快打补丁。如无法立即打补丁,则应当考虑如下缓解措施:
确保 admin 门户未暴露在公开互联网上;拦截对该门户(默认 TCP 端口7001)的访问权限。在打补丁前,可将其作为部分缓解措施。
审计 HTTP 请求的应用日志的请求 URI中是否包含双重编码路径遍历 %252E%252E%252F 和 admin 门户 console.portal。
监控网络流量中是否存在可疑的 HTTP 请求。
监控该应用程序中是否创建了可疑进程,如 cmd.exe 或 /bin/sh。
推荐阅读
奇安信代码卫士帮助微软和 Oracle 修复多个高危漏洞,获官方致谢
Kramdown 配置不当引发 GitHub Pages 多个 RCE,得 $2.5万($6.1万系列之二)
原文链接
https://blog.rapid7.com/2020/10/29/oracle-weblogic-unauthenticated-complete-takeover-cve-2020-14882-what-you-need-to-know/
https://isc.sans.edu/forums/diary/PATCH+NOW+CVE202014882+Weblogic+Actively+Exploited+Against+Honeypots/26734/
https://blog.rapid7.com/2020/10/29/oracle-weblogic-unauthenticated-complete-takeover-cve-2020-14882-what-you-need-to-know/
https://www.oracle.com/security-alerts/cpuoct2020traditional.html
https://testbnull.medium.com/weblogic-rce-by-only-one-get-request-cve-2020-14882-analysis-6e4b09981dbf
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~