Weblogic ConSole HTTP 協議代碼執行漏洞

2020-11-05 安全客小安

0x01 漏洞簡述

2020年10月29日,360CERT監測發現 Weblogic ConSole HTTP 協議代碼執行漏洞 相關 POC已經公開,該漏洞編號為 CVE-2020-14882,CVE-2020-14883 ,漏洞等級: 嚴重 ,漏洞評分: 9.8

遠程攻擊者可以構造特殊的 HTTP 請求,在未經身份驗證的情況下接管 WebLogic Server Console ,並在 WebLogic Server Console 執行任意代碼。

對此,360CERT建議廣大用戶及時將 Weblogic 升級到最新版本。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。

0x02 風險等級

360CERT對該漏洞的評定結果如下

評定方式等級威脅等級嚴重影響面廣泛360CERT評分9.8

0x03 漏洞詳情

CVE-2020-14883: 權限繞過漏洞

遠程攻擊者可以構造特殊的 HTTP 請求,在未經身份驗證的情況下接管 WebLogic Server Console

CVE-2020-14882: 代碼執行漏洞

結合 CVE-2020-14883 漏洞,遠程攻擊者可以構造特殊的 HTTP 請求,在未經身份驗證的情況下接管 WebLogic Server Console ,並在 WebLogic Server Console 執行任意代碼。

漏洞利用如下:

0x04 影響版本

  • Oracle:Weblogic : 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

0x05 修復建議

通用修補建議

及時更新補丁,參考oracle官網發布的補丁:Oracle Critical Patch Update Advisory – October 2020。

0x06 相關空間測繪數據

360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現 Weblogic全球 均有廣泛使用,具體分布如下圖所示。

0x07 產品側解決方案

360城市級網絡安全監測服務

360CERT的安全分析人員利用360安全大腦的QUAKE資產測繪平臺(quake.360.cn),通過資產測繪技術的方式,對該漏洞進行監測。可聯繫相關產品區域負責人或(quake#360.cn)獲取對應產品。

0x08 時間線

2020-10-21 360CERT發布Oracle補丁日通告

2020-10-28 360CERT監測到POC公開

2020-10-29 360CERT發布通告

0x09 參考連結

  1. Oracle Critical Patch Update Advisory – October 2020
  2. Weblogic RCE by only one GET request — CVE-2020–14882 Analysis


歡迎登錄安全客 -有思想的安全新媒體www.anquanke.com/加入交流群1015601496 獲取更多最新資訊

原文連結:https://www.anquanke.com/post/id/221020

相關焦點

  • CVE-2020-14882&14883weblogic未授權命令執行漏洞復現
    概述10 月 21 日,Oracle 官方發布數百個組件的高危漏洞公告。其中組合利用 CVE-2020-14882/CVE-2020-14883 可使未經授權的攻擊者繞過 WebLogic 後臺登錄等限制,最終遠程執行代碼接管 WebLogic 伺服器,利用難度極低,風險極大。
  • 組件IIOP協議遠程代碼執行漏洞
    在Oracle官方發布的2020年1月關鍵補丁更新公告CPU(Critical Patch Update)中,公布了一個WebLogic WLS組件IIOP協議中的遠程代碼執行漏洞(CVE-2020-2551),此漏洞存在於WebLogic伺服器的核心組件中,當WebLogic伺服器處於默認設置時
  • Weblogic WLS核心組件反序列化命令執行突破
    基本概要發布時間:2017年11月22日漏洞名稱:JBOSSAS5.x/6.x反序列化命令執行漏洞威脅類型:遠程命令執行CVE漏洞描述:CVE-2018-2628為CVE-2017-3248修復版本的繞過,遠程攻擊者可利用該漏洞在未授權的情況下發送攻擊數據,並可獲取目標系統所有權限。
  • Weblogic XMLDecoder 漏洞觸發鏈分析
    近年來weblogic不斷爆出了各種反序列化漏洞及補丁繞過漏洞,我也對最近的Weblogic漏洞進行分析和利用。var4變量是從post stream中讀取的主體部分,也是soap協議要解析的內容。這部分代碼的最後接著把xml內容封裝成類繼續向下傳遞。下面的調用代碼比較短小,放在一起查看調用鏈。
  • 每日漏洞|HTTP.sys遠程代碼執行
    上篇文章 介紹了Host頭攻擊,今天我們講一講HTTP.sys遠程代碼執行漏洞。HTTP.sys遠程代碼執行漏洞實質是HTTP.sys的整數溢出漏洞,當攻擊者向受影響的Windows系統發送特殊設計的HTTP 請求,HTTP.sys 未正確分析時就會導致此漏洞,成功利用此漏洞的攻擊者可以在系統帳戶的上下文中執行任意代碼。
  • Weblogic Cohence反序列化RCE分析利用
    這些漏洞將導致他人在目標設備上可靠地實現遠程代碼執行,而且這類漏洞通常很難修復。2020年3月6日Weblogic公開了該漏洞,這是一個嚴重漏洞,CVSS評分為9.8,該漏洞將影響Oracle Coherence庫,而這個庫在Oracle WebLogic Server等流行產品中都有廣泛使用。
  • weblogic CVE-2019-2725漏洞描述與修復
    CVE-2019-2725是Oracle WebLogic遠程命令執行漏洞最新利用代碼。此次漏洞不算什麼新的點,核心利用點依舊是weblogic的xmldecoder反序列化漏洞,只是通過構造巧妙的利用鏈可以對Oracle官方歷年來針對這個漏洞點的補丁繞過。
  • Steam 協議漏洞允許遠程執行代碼
    安全研究人員發現Steam瀏覽器協議存在允許遠程執行代碼(PDF)的漏洞。 當用戶在電腦上安裝Steam後,它會註冊steam:// URL協議讓玩家連接遊戲伺服器和啟動遊戲。但當用戶點擊一個特殊形式的Steam URL後,攻擊者可以遠程利用Steam遊戲和程序的緩衝溢出等漏洞在目標電腦上運行惡意代碼。
  • 關於Oracle Weblogic遠程代碼執行高危漏洞的預警通報
    近日,Oracle官方發布2020年7月關鍵補丁更新,共修復443個危害程度不同的安全漏洞。其中針對 WebLogic Server Core組件的高危漏洞4個,漏洞編號分別為CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687。一、漏洞情況T3、IIOP 協議用於在WebLogic和其他Java程序之間傳輸數據。
  • Steam曝協議漏洞 允許遠程執行代碼
    安全研究人員發現Steam瀏覽器協議存在允許遠程執行代碼(PDF)的漏洞。 當用戶在電腦上安裝Steam後,它會註冊steam:// URL協議讓玩家連接遊戲伺服器和啟動遊戲。但當用戶點擊一個特殊形式的Steam URL後,攻擊者可以遠程利用Steam遊戲和程序的緩衝溢出等漏洞在目標電腦上運行惡意代碼。
  • 深入解讀:Windows HTTP.sys遠程代碼執行漏洞跟蹤進展
    4、代碼執行從上述分析可以看出,觸發此漏洞可越界寫數據而造成內存破壞,理論上存在遠程執行代碼的可能性。但是越界所寫數據的長度下限由ContentLength決定,通常會是一個較大的值而立即使系統崩潰。即使目標伺服器上存在一些大的文件,可以用來越界寫少量數據,所寫數據內容與被覆蓋目標也很難控制。因此,在實際環境中想要穩定的利用此漏洞來執行代碼是非常困難的。
  • 驚爆:Steam客戶端發現遠程代碼執行漏洞
    大家熟知的遊戲平臺Steam客戶端,竟然存在了一個至少10年的遠程代碼執行漏洞……近日有安全公司的研究人員Tom Court曝出了這一發現。Steam客戶端發現遠程代碼執行漏洞  Steam客戶端程序庫的堆積(Heap)崩潰漏洞能被遠端觸發,該區代碼是用來處理並重組多個UDP數據封包,Steam客戶端依賴自定義協議進行通訊
  • Java反序列化漏洞驗證代碼還不會寫?我花了兩天時間為你寫了這篇
    0x01 前言前面,我們了解了java的序列化機制,也知道在什麼情況下會出現漏洞,為了對反序列化漏洞有個更直觀的認識,這裡就來說一說存在於apache commons-collections.jar中的一條pop鏈,要知道這個類庫使用廣泛,所以很多大型的應用也存在著這個漏洞,我這裡就以weblogic cve-2015-4852來說說反序列化漏洞的具體利用方法。
  • 【權威發布】關於Oracle WebLogic Server未授權遠程代碼執行高危漏洞的預警通報
    近日,我中心技術支持單位奇安信CERT監測到Oracle WebLogic Server 遠程代碼執行漏洞POC被公開。利用該漏洞,遠程攻擊者可在 WebLogic Server Console 執行任意代碼。漏洞編號:CVE-2020-14882,安全級別為「高危」。
  • 漏洞公告 | OpenStack遠程代碼執行0day
    概要信息: OpenStack RCE 0Day 漏洞危害: 高,攻擊者利用此漏洞,可實現遠程代碼執行。應急等級: 黃色 版本: 1.0漏洞概述關於 OpenStack OpenStack 是一個利用虛擬資源池構建和管理私有雲和公共雲的平臺
  • 「物聯網漏洞復現」TP-Link SR20 本地網絡遠程代碼執行漏洞
    TP-Link SR20 是一款支持 Zigbee 和 Z-Wave 物聯網協議可以用來當控制中樞 Hub 的觸屏 Wi-Fi 路由器,此遠程代碼執行漏洞允許用戶在設備上以 root 權限執行任意命令,該漏洞存在於 TP-Link 設備調試協議(TP-Link Device Debug Protocol 英文簡稱 TDDP) 中,TDDP 是 TP-Link 申請了專利的調試協議
  • SMB遠程代碼執行漏洞(CVE-2020-0796)分析
    2020年3月10日,微軟發布安全公告,其中包括一個Windows SMBv3 遠程代碼執行漏洞(CVE-2020-0796)。該漏洞源於SMBv3協議在處理惡意壓縮數據包時,進入了錯誤流程。遠程未經身份驗證的攻擊者可利用該漏洞在應用程式中執行任意代碼。
  • 「Weblogic學習」WebLogic診斷篇之JDBC連接洩漏故障
    (JTAConnection.java:90)at weblogic.jdbc.jta.DataSource.getConnection(DataSource.java:468)at weblogic.jdbc.jta.DataSource.connect(DataSource.java:410)at weblogic.jdbc.common.internal.RmiDataSource.getConnection
  • Win10漏洞又來了 可繞過Chromium瀏覽器沙盒執行任意代碼
    BUG能夠破壞所有基於Chromium瀏覽器的沙盒,並且繞過沙盒執行任意代碼,雖然谷歌安全團隊表示想要利用這個BUG發起攻擊比較複雜,但從BUG本身來看,又是一個比較嚴重的系統BUG。  之所以說利用這個BUG進行攻擊比較複雜,主要是需要更改作業系統代碼中與安全令牌分配有關的代碼。