|
2020年10月30日,腾讯云防火墙已捕获到大量利用WebLogic console 远程代码执行漏洞(CVE-2020-14882)的在野攻击。腾讯安全全系列产品10月28日更新的规则库、漏洞库仍可检测、拦截WebLogic console远程代码执行漏洞(CVE-2020-14882)补丁绕过风险。
漏洞描述: 2020年10月21日,Oracle发布10月关键补丁更新,修复了包括 CVE-2020-14882 在内的数百个高危漏洞。 10月28日,腾讯安全团队注意到互联网上出现CVE-2020-14882和CVE-2020-14883两个高危漏洞POC(验证代码),腾讯安全旗下的全系列安全产品当日已针对该漏洞升级规则库、漏洞库,以防御即将到来的黑客攻击利用。 2020年10月30日,腾讯安全团队注意到Oracle官方发布的CVE-2020-14882漏洞补丁存在被绕过的风险:在Weblogic完成补丁更新的情况下,未经授权的攻击者仍可绕过WebLogic后台登录等限制,并控制服务器。 黑灰产业正以极快的速度在利用Weblogic漏洞在野攻击,腾讯安全mi-guan系统已捕获大量利用WebLogic console远程代码执行漏洞(CVE-2020-14882)的1Day攻击。腾讯安全团队提醒 Weblogic用户尽快采取安全措施阻止漏洞攻击,腾讯安全全系列产品可检测、拦截WebLogic console远程代码执行漏洞(CVE-2020-14882)补丁绕过风险。 从漏洞信息公布到漏洞被修补这段期间,攻击有效性非常高,业界把此类漏洞称为1DAY漏洞。在本次事件中,虽然在21日官方发布了补丁,但该补丁仍然可以被绕过,1DAY风险依旧存在。 WebLogic是美国Oracle公司的主要产品之一,是商业市场上主要的J2EE应用服务器软件,也是世界上第一个成功商业化的J2EE应用服务器,在Java应用服务器中有非常广泛的部署和应用。
漏洞评级: 严重,CVSS评分9.8
受影响的版本: WebLogic 10.3.6.0.0 WebLogic 12.1.3.0.0 WebLogic 12.2.1.3.0 WebLogic 12.2.1.4.0 WebLogic 14.1.1.0.0
漏洞缓解建议: Oracle官方已发布针对CVE-2020-14882漏洞的补丁,但遗憾的是,该补丁存在被绕过的风险,即官方补丁不足以消除攻击风险。 腾讯安全专家建议受影响的用户临时关闭weblogic后台/console/console.portal的对外访问。腾讯安全团队会密切关注该漏洞的最新进展。
腾讯安全网络空间测绘: 腾讯安全网络空间测绘结果显示,Weblogic在全球应用广泛,分布于世界各地。荷兰、美国、日本、中国占比超过50%。北京、上海、广东、浙江四省市在占国内用户中占比超过85%。
腾讯安全解决方案: 腾讯安全团队提醒 Weblogic用户尽快采取安全措施阻止漏洞攻击,腾讯安全全系列产品10月28日的规则库、漏洞库更新可检测、拦截WebLogic console远程代码执行漏洞(CVE-2020-14882)利用及补丁绕过风险。 1.腾讯T-Sec云防火墙规则库日期2020-10-28之后的版本,已支持对Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的检测和拦截。 腾讯云防火墙内置的入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用。 2.腾讯T-Sec主机安全(云镜)漏洞库日期2020-10-28之后的版本,已支持对Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)进行检测。 3.腾讯T-Sec漏洞扫描服务漏洞特征库日期2020-10-28之后的版本,已支持检测全网资产是否存在Weblogic未授权命令执行漏洞(CVE-2020-14882/14883),并提醒用户修复。 4.腾讯T-Sec高级威胁检测系统(御界)规则库日期2020-10-28之后的版本,已支持对Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的攻击检测。 欢迎扫描识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。 IOCs 部分攻击源IP 103.127.239.100 61.148.74.134 61.172.6.235 114.247.175.220 124.126.11.226 185.92.26.62 220.181.41.37 112.97.54.248 185.225.19.240 104.168.144.16 参考链接:
| 
发表于 2020-10-30 15:15:31
