CVE-2020-14882

[post-views]
November 12, 2020 · 3 min zu lesen
CVE-2020-14882

Ende Oktober 2020 bemerkte die Welt der Cybersicherheit bösartige Aktivitäten, die auf Oracle WebLogic-Server abzielten. Diese Aktivitäten nahmen die Form wiederkehrender Ausnutzung einer RCE-Schwachstelle im Oracle WebLogic-Serverkonsolen-Komponenten an, die als CVE-2020-14882 bekannt ist. Diese CVE wurde als kritisch bewertet und erzielte 9,8 Punkte auf der CVSS-Skala. 

CVE-2020-14882 Überblick

Die SANS ISC zusammen mit Rapid7 Labs waren die ersten Cybersicherheitsgemeinschaften, die das gegnerische Verhalten verfolgten, das den Oracle WebLogic-Server durch diese kritische RCE-Schwachstelle kompromittierte. Die Tatsache, dass diese Schwachstelle kurz nach der Veröffentlichung eines Patches durch Oracle aktiv ausgenutzt wurde, verstärkte die wachsende Spannung. Kompromittierende HTTP-Anfragen ermöglichen es Bedrohungsakteuren, die vollständige Kontrolle über den Host zu erlangen. Ein nicht authentifizierter, entfernter Cyberkrimineller kann diesen wunden Punkt im Oracle WebLogic-Server mit einer einzigen GET-HTTP-Anfrage ausnutzen. 

Hier ist ein Open-Source Proof of Concept für CVE-2020-14882, veröffentlicht auf GitHub.

CVE-2020-14882 Proaktive Exploit-Erkennung und Milderungstechniken

Um auf Ausnutzungsversuche zu reagieren, hat Oracle bald Patches für CVE-2020-14882 veröffentlicht. Die folgenden Serverversionen erwiesen sich als besonders anfällig für diese kritische Schwachstelle:

  • 12.1.3.0.0
  • 12.2.1.3.0
  • 12.2.1.4.0
  • 14.1.1.0.0

Organisationen, die den Oracle WebLogic-Server nutzen, wird dringend empfohlen, die veröffentlichten Patches anzuwenden, um ihre Abwehrfähigkeiten gegen Angriffsversuche zur Ausnutzung von CVE-2020-14882 zu verbessern. Unternehmen, die kurzfristig nicht in der Lage sind, Patches anzuwenden, können auf eine Reihe von Milderungstechniken zurückgreifen. Diese Techniken können das Patchen nicht ersetzen, aber sie können die Bedrohung abmildern, insbesondere:

  • Sperrung des Zugriffs auf das Admin-Portal 
  • Kontinuierliche Überwachung des Netzwerkverkehrs auf HTTP-Anfragen, die den Server kompromittieren
  • Überprüfung auf verdächtige Aktivitäten, die von der Anwendung ausgeführt werden, wie z. B. cmd.exe or /bin/sh

Laut der Suchmaschine Spyce sind über 3.000 Oracle WebLogic-Server auch nach der Veröffentlichung des Patches weiterhin anfällig für CVE-2020-14882. Dies ermutigt CISOs und ihre Teammitglieder, relevante SOC-Inhalte zu beschaffen, die mit den Sicherheitstools der Organisation kompatibel sind, um proaktiv vor CVE-2020-14882-Ausnutzungen zu verteidigen.

SOC-Inhalt mit CVE-2020-14882 markiert

SOC Prime Threat Detection Marketplace bietet über 81.000 SOC-Inhalte, die auf das unternehmensspezifische Bedrohungsprofil zugeschnitten und mit bestimmten CVE- und TTPs, die von APT-Gruppen verwendet werden, sowie mehreren MITRE ATT&CK® Parametern markiert sind.Das SOC Prime Team von Inhaltsentwicklern und Threat Bounty-Inhaltsbeiträgern bereichert kontinuierlich die globale SOC-Inhaltsbibliothek mit plattformübergreifenden Erkennungs- und Reaktionsalgorithmen, Parsern, Konfigurationen, YARA-Regeln, maschinellen Lernmodellen und Dashboards. Die neu veröffentlichte Regel, die von Emir Erdogan entwickelt wurde, ermöglicht die proaktive Exploit-Erkennung von CVE-2020-14882. Sie können diesen SOC-Inhalt direkt vom Threat Detection Marketplace herunterladen:

  • Geben Sie „CVE-2020-14882“ ein im Such feld, und die Inhalts seite wird aktualisiert und zeigt Suchergebnisse an, die mit Ihren Kriterien übereinstimmen.
  • Klicken Sie auf das Inhaltselement mit dem benötigten Erkennungsinhalt. 



  • Wählen Sie die Plattform aus, um die Regel in das für Ihre Sicherheitslösung anwendbare Format zu konvertieren.
  • Stellen Sie Inhalte manuell in Ihrer SIEM-, EDR- oder NTDR-Instanz mit einem einzigen Klick bereit. 

 

Derzeit sind diese SOC-Inhalte, die sich mit CVE-2020-14882 befassen, für die Mehrheit der SIEM- und EDR-Lösungen verfügbar, einschließlich des offenen Signaturformats Sigma, des Elastic  Stack sowie für cloudbasierte Sicherheitstools wie Azure Sentinel, Sumo Logic und Chronicle Security.

Übersetzungen für Corelight, CrowdStrike, Microsoft Defender ATP und Sysmon werden bald verfügbar sein.


Suchen Sie nach den neuesten SOC-Inhalten, die mit Ihren Sicherheitstools kompatibel sind? Melden Sie sich für den Threat Detection Marketplace an es ist völlig kostenlos! Wenn Sie gerne programmieren und Ihre eigenen kuratierten Inhalte erstellen möchten, treten Sie unserem Threat Bounty-Programm bei und helfen Sie uns, die Bibliothek des Threat Detection Marketplace-Inhalts zu bereichern.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Blog, SOC Prime Plattform — 2 min zu lesen
Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Steven Edwards
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Veronika Telychko