首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]腾讯云防火墙捕获WebLogic(CVE-2020-14882)1DAY漏洞在野攻击
发表于: 2020-10-30 15:25 2188

[原创]腾讯云防火墙捕获WebLogic(CVE-2020-14882)1DAY漏洞在野攻击

腾讯电脑管家 活跃值
2020-10-30 15:25
2188

 

2020年10月30日,腾讯云防火墙已捕获到大量利用WebLogic console 远程代码执行漏洞(CVE-2020-14882)的在野攻击。腾讯安全全系列产品10月28日更新的规则库、漏洞库仍可检测、拦截WebLogic console远程代码执行漏洞(CVE-2020-14882)补丁绕过风险。

 

漏洞描述:

20201021日,Oracle发布10月关键补丁更新,修复了包括 CVE-2020-14882 在内的数百个高危漏洞。 

 

1028日,腾讯安全团队注意到互联网上出现CVE-2020-14882CVE-2020-14883两个高危漏洞POC(验证代码),腾讯安全旗下的全系列安全产品当日已针对该漏洞升级规则库、漏洞库,以防御即将到来的黑客攻击利用。

 

20201030日,腾讯安全团队注意到Oracle官方发布的CVE-2020-14882漏洞补丁存在被绕过的风险:在Weblogic完成补丁更新的情况下,未经授权的攻击者仍可绕过WebLogic后台登录等限制,并控制服务器。

 

黑灰产业正以极快的速度在利用Weblogic漏洞在野攻击,腾讯安全蜜罐系统已捕获大量利用WebLogic console远程代码执行漏洞(CVE-2020-14882)的1Day攻击。腾讯安全团队提醒 Weblogic用户尽快采取安全措施阻止漏洞攻击,腾讯安全全系列产品可检测、拦截WebLogic console远程代码执行漏洞(CVE-2020-14882)补丁绕过风险。

 

从漏洞信息公布到漏洞被修补这段期间,攻击有效性非常高,业界把此类漏洞称为1DAY漏洞。在本次事件中,虽然在21日官方发布了补丁,但该补丁仍然可以被绕过,1DAY风险依旧存在。

 

WebLogic是美国Oracle公司的主要产品之一,是商业市场上主要的J2EE应用服务器软件,也是世界上第一个成功商业化的J2EE应用服务器,在Java应用服务器中有非常广泛的部署和应用。

 


漏洞评级:

严重,CVSS评分9.8

 


受影响的版本:

WebLogic 10.3.6.0.0

WebLogic 12.1.3.0.0

WebLogic 12.2.1.3.0

WebLogic 12.2.1.4.0

WebLogic 14.1.1.0.0

 


漏洞缓解建议:

Oracle官方已发布针对CVE-2020-14882漏洞的补丁,但遗憾的是,该补丁存在被绕过的风险,即官方补丁不足以消除攻击风险。

 

腾讯安全专家建议受影响的用户临时关闭weblogic后台/console/console.portal的对外访问。腾讯安全团队会密切关注该漏洞的最新进展。

 


腾讯安全网络空间测绘:

 

腾讯安全网络空间测绘结果显示,Weblogic在全球应用广泛,分布于世界各地。荷兰、美国、日本、中国占比超过50%。北京、上海、广东、浙江四省市在占国内用户中占比超过85%。


腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 es@tencent.com 了解产品详情。

 

 

腾讯安全解决方案:

腾讯安全团队提醒 Weblogic用户尽快采取安全措施阻止漏洞攻击,腾讯安全全系列产品10月28日的规则库、漏洞库更新可检测、拦截WebLogic console远程代码执行漏洞(CVE-2020-14882)利用及补丁绕过风险。

 

1.腾讯T-Sec云防火墙规则库日期2020-10-28之后的版本,已支持对Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的检测和拦截。

 

腾讯云防火墙内置的入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用。

 

2.腾讯T-Sec主机安全(云镜)漏洞库日期2020-10-28之后的版本,已支持对Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)进行检测。

 

3.腾讯T-Sec漏洞扫描服务漏洞特征库日期2020-10-28之后的版本,已支持检测全网资产是否存在Weblogic未授权命令执行漏洞(CVE-2020-14882/14883),并提醒用户修复。

 

4.腾讯T-Sec高级威胁检测系统(御界)规则库日期2020-10-28之后的版本,已支持对Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的攻击检测。

 

 

欢迎扫描识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。 

 

 

IOCs

 

部分攻击源IP 

103.127.239.100

61.148.74.134

61.172.6.235

114.247.175.220

124.126.11.226

185.92.26.62

220.181.41.37

112.97.54.248

185.225.19.240

104.168.144.16

 

参考链接:

https://www.oracle.com/security-alerts/cpuoct2020.html

 


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//