严重利用Oracle WebLogic严重漏洞CVE-2020-14882

威胁行动者已开始在野外攻击中利用Oracle WebLogin中的一个严重漏洞(跟踪为CVE-2020-14882)。

威胁行动者已开始在Internet上扫描运行有漏洞的Oracle WebLogic安装的服务器,以尝试利用跟踪为CVE-2020-14882的关键漏洞。

未经身份验证的攻击者可以利用CVE-2020-14882通过发送简单的HTTP GET请求来接管系统。

该漏洞的严重等级为9.8(满分10),Oracle在本月的关键补丁更新(CPU)版本中已解决。

受影响的Oracle WebLogic Server版本为10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0。

该漏洞是由 Chaitin安全研究实验室的安全研究员Voidfyoo发现的 。

SANS技术学院的安全研究人员建立了一个蜜罐集合,该蜜罐被设置为允许研究人员在CVE-2020-14882的利用代码公开后不久可以捕获一系列攻击。

根据SANS研究部院长Johannes Ullrich的说法,针对蜜罐的攻击源自以下IP地址:

  • 114.243.211.182 –分配给中国联通
  • 139.162.33.228 –分配给Linode(美国)
  • 185.225.19.240 –分配给MivoCloud(摩尔多瓦)
  • 84.17.37.239 –分配给DataCamp Ltd(香港)

根据SANS专家的说法,攻击中使用的漏洞利用似乎是基于研究员Jang在此博客文章中发布的代码。

这些漏洞利用尝试现在只是在验证系统是否易受攻击。我们的蜜罐(到目前为止)没有返回“正确的”响应,并且我们还没有看到后续请求。” 阅读由SANS发布的帖子

SANS研究所正在警告互联网服务提供商使用攻击中涉及的IP地址。

攻击者使用的攻击仅探测系统以确定它们是否易受攻击。

#CVE -2020–14882 Weblogic未经授权的绕过RCE
http:// xxxx:7001 / console / images /%252E%252E%252Fconsole.portal

POST:

_nfpb = true&_pageLabel =&handle = https://t.co/jBUfUasQC1 .ShellSession( %22java.lang.Runtime.getRuntime()。exec(%27calc.exe%27);%22)https://t.co/nU8xkK30DU pic.twitter.com/uLiggjHnQG-Jas502n(@ jas502n)

2020年10月28日

在Spyse引擎上我们可以检索到3,000多个安装可能暴露于CVE-2020-14882之下且可能容易受到攻击的Oracle WebLogic服务器。

Oracle WebLogic安装的管理员必须尽快为CVE-2020-14882漏洞应用补丁。

*编译:Domino

*来自:securityaffairs