跳转至

T1190-CVE-2020-14882-Weblogic Console HTTP 协议远程代码执行漏洞

来自ATT&CK的描述

使用软件,数据或命令来利用面向Internet的计算机系统或程序中的弱点,从而导致意外或无法预期的行为。系统的弱点可能是错误、故障或设计漏洞。这些应用程序通常是网站,但是可以包括数据库(例如SQL),标准服务(例如SMB 或SSH)以及具有Internet可访问开放的任何其他应用程序,例如Web服务器和相关服务。根据所利用的缺陷,这可能包括“利用防御防卫”。

如果应用程序托管在基于云的基础架构上,则对其进行利用可能会导致基础实际应用受到损害。这可以使攻击者获得访问云API或利用弱身份和访问管理策略的路径。

对于网站和数据库,OWASP排名前10位和CWE排名前25位突出了最常见的基于Web的漏洞。

测试案例

Weblogic是Oracle公司推出的J2EE应用服务器,CVE-2020-14882允许未授权的用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链,可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。

0x1 影响版本

Oracle:Weblogic : 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

0x2 漏洞详情

可参考:

https://www.cnblogs.com/2rsh0u/p/13911794.html # Weblogic未授权远程命令执行漏洞(CVE-2020-14882&CVE-2020-14883)复现

https://www.cnblogs.com/potatsoSec/p/13895120.html # CVE-2020-14882 weblogic 未授权命令执行复现

检测日志

HTTP.log

测试复现

可参考漏洞详情部分

检测规则/思路

sigma规则

title: Oracle WebLogic Exploit CVE-2020-14882
status: 测试状态
description: 检测WebLogic服务器上的攻击企图
references:
    - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14882
    - https://www.cnblogs.com/2rsh0u/p/13911794.html
    - https://www.cnblogs.com/potatsoSec/p/13895120.html
logsource:
    category: webserver
detection:
    selection:
        c-uri|contains:
            - '/console/images/%252E%252E%252Fconsole.portal'
            - '/console/css/%2e'
    condition: selection
fields:
    - c-ip
    - c-dns
falsepositives:
    - Unknown
level: high
tags:
    - attack.t1190
    - attack.initial_access
    - cve.2020-14882

建议

建议使用HTTP流量+安全设备进行检测分析判断攻击是否成功。

参考推荐

MITRE-ATT&CK-T1190

https://attack.mitre.org/techniques/T1190/

Weblogic未授权远程命令执行漏洞(CVE-2020-14882&CVE-2020-14883)复现

https://www.cnblogs.com/2rsh0u/p/13911794.html

CVE-2020-14882 weblogic 未授权命令执行复现

https://www.cnblogs.com/potatsoSec/p/13895120.html