Oracle WebLogic漏洞在野利用

  • A+
所属分类:安全文章

Oracle WebLogic漏洞在野利用

Oracle WebLogic漏洞在野利用

Oracle WebLogic漏洞在野利用
漏洞简介

在Oracle官方发布的2020年10月关键补丁更新公告中,修复了一个Weblogic Console中的高危远程代码执行漏洞CVE-2020-14882。未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的 WebLogic Server 上执行任意代码。由于该漏洞能够在无需身份验证的情况下被触发,CVSS 评分为 9.8分,影响较大。

受影响的版本

漏洞影响Oracle WebLogic 服务器10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0版本。

Oracle WebLogic漏洞在野利用
在野利用

SANS技术研究所研究人员称,攻击者正在寻找有漏洞的Oracle WebLogic 示例进行在野共计。通过搭建的蜜罐系统数据显示,CVE-2020-14882漏洞利用代码出现后不久就出现了在野攻击。蜜罐系统捕获的数据显示攻击来自于以下IP 地址:

· 114.243.211.182 – X国联通

· 139.162.33.228 - Linode (美国)

· 185.225.19.240 - MivoCloud (摩尔多瓦)

· 84.17.37.239 - DataCamp (HK)

这些IP 大多只是ping 目标,但是一个来自MivoCloud 的IP 还尝试转型cmd/c 命令。

SANS 研究人员称由于蜜罐系统记录的漏洞利用只是检查系统是否受该漏洞的影响。但是蜜罐系统无法提供之后的请求,因为系统被配置为不回复一个正确的响应。

研究人员称,攻击中使用的漏洞利用看似是根据一篇越南语的漏洞利用技术细节文章,参见:

https://testbnull.medium.com/weblogic-rce-by-only-one-get-request-cve-2020-14882-analysis-6e4b09981dbf

Oracle WebLogic漏洞在野利用

根据Spyse 引擎的检索结果,有超过3000个互联网可达的Oracle WebLogic 服务器,这些服务器都可能受到CVE-2020-14882 漏洞的影响。

Oracle WebLogic漏洞在野利用

SANS 检测到的攻击活动就在Oracle发布补丁后不到一周。考虑到漏洞利用的复杂度、漏洞的严重性、公开的漏洞利用等,发现在野利用也就不足为奇了。研究人员建议用户尽快安装补丁以免受该漏洞攻击的影响。

参考及来源:https://www.bleepingcomputer.com/news/security/critical-oracle-weblogic-flaw-actively-targeted-in-attacks/

Oracle WebLogic漏洞在野利用

Oracle WebLogic漏洞在野利用

本文始发于微信公众号(嘶吼专业版):Oracle WebLogic漏洞在野利用

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: