威胁行动者已开始在野外攻击中利用Oracle WebLogin中的一个严重漏洞(跟踪为CVE-2020-14882)。
威胁行动者已开始在Internet上扫描运行有漏洞的Oracle WebLogic安装的服务器,以尝试利用跟踪为CVE-2020-14882的关键漏洞。
未经身份验证的攻击者可以利用CVE-2020-14882通过发送简单的HTTP GET请求来接管系统。
该漏洞的严重等级为9.8(满分10),Oracle在本月的关键补丁更新(CPU)版本中已解决。
受影响的Oracle WebLogic Server版本为10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0。
该漏洞是由 Chaitin安全研究实验室的安全研究员Voidfyoo发现的 。
SANS技术学院的安全研究人员建立了一个蜜罐集合,该蜜罐被设置为允许研究人员在CVE-2020-14882的利用代码公开后不久可以捕获一系列攻击。
根据SANS研究部院长Johannes Ullrich的说法,针对蜜罐的攻击源自以下IP地址:
- 114.243.211.182 –分配给中国联通
- 139.162.33.228 –分配给Linode(美国)
- 185.225.19.240 –分配给MivoCloud(摩尔多瓦)
- 84.17.37.239 –分配给DataCamp Ltd(香港)
根据SANS专家的说法,攻击中使用的漏洞利用似乎是基于研究员Jang在此博客文章中发布的代码。
这些漏洞利用尝试现在只是在验证系统是否易受攻击。我们的蜜罐(到目前为止)没有返回“正确的”响应,并且我们还没有看到后续请求。” 阅读由SANS发布的帖子。
SANS研究所正在警告互联网服务提供商使用攻击中涉及的IP地址。
攻击者使用的攻击仅探测系统以确定它们是否易受攻击。
#CVE -2020–14882 Weblogic未经授权的绕过RCE
http:// xxxx:7001 / console / images /%252E%252E%252Fconsole.portal
POST:
_nfpb = true&_pageLabel =&handle = https://t.co/jBUfUasQC1 .ShellSession( %22java.lang.Runtime.getRuntime()。exec(%27calc.exe%27);%22)https://t.co/nU8xkK30DU pic.twitter.com/uLiggjHnQG-Jas502n(@ jas502n)
在Spyse引擎上我们可以检索到3,000多个安装可能暴露于CVE-2020-14882之下且可能容易受到攻击的Oracle WebLogic服务器。
Oracle WebLogic安装的管理员必须尽快为CVE-2020-14882漏洞应用补丁。
*编译:Domino
*来自:securityaffairs