CVE-2020-14882

[post-views]
noviembre 12, 2020 · 4 min de lectura
CVE-2020-14882

A finales de octubre de 2020, el mundo de la ciberseguridad detectó una actividad maliciosa dirigida a los servidores de Oracle WebLogic. Esta actividad tomó la forma de una explotación recurrente de una debilidad de RCE en el componente de consola del servidor Oracle WebLogic conocido como CVE-2020-14882. Este CVE fue calificado como crítico al obtener una puntuación de 9,8 en la escala CVSS. 

Resumen de CVE-2020-14882

El SANS ISC junto con Rapid7 Labs fueron las primeras comunidades de ciberseguridad en rastrear el comportamiento de los adversarios que comprometieron el servidor Oracle WebLogic a través de esta falla de RCE crítica. El hecho de que esta vulnerabilidad fuera explotada activamente poco después de un lanzamiento de parche por Oracle aumentó la creciente tensión. La ejecución de solicitudes HTTP comprometedores permite a los actores de amenazas obtener control total sobre el host. Un ciberdelincuente remoto no autenticado puede explotar este punto débil en el servidor Oracle WebLogic usando una sola solicitud HTTP GET. 

Aquí hay un Proof of Concept para CVE-2020-14882 publicado en GitHub.

Técnicas proactivas de detección y mitigación de explotaciones para CVE-2020-14882

Para responder a los intentos de explotación, Oracle lanzó parches para CVE-2020-14882. Las siguientes versiones del servidor demostraron ser mayormente propensas a esta vulnerabilidad crítica:

  • 12.1.3.0.0
  • 12.2.1.3.0
  • 12.2.1.4.0
  • 14.1.1.0.0

Se recomienda encarecidamente a las organizaciones que utilizan el servidor Oracle WebLogic que apliquen los parches liberados para mejorar sus capacidades de defensa contra los intentos de explotación de CVE-2020-14882 por parte de los atacantes. Aquellas empresas que no puedan parchear a corto plazo, pueden recurrir a un conjunto de técnicas de mitigación. Las siguientes técnicas no pueden reemplazar el parcheo, pero pueden mitigar la amenaza, más específicamente:

  • Bloquear el acceso al portal de administración 
  • Monitorización constante del tráfico de red en busca de solicitudes HTTP que comprometan el servidor
  • Revisión de actividades sospechosas ejecutadas por la aplicación, tales como cmd.exe or /bin/sh

Según el motor de búsqueda Spyce, más de 3,000 servidores Oracle WebLogic siguen siendo vulnerables a CVE-2020-14882 incluso después del lanzamiento del parche. Esto alienta a los CISOs y a los miembros de su equipo a obtener contenido SOC relevante compatible con las herramientas de seguridad de la organización para defenderse proactivamente contra las explotaciones de CVE-2020-14882.

Contenido SOC etiquetado con CVE-2020-14882

SOC Prime Threat Detection Marketplace ofrece más de 81,000 elementos de contenido SOC adaptados al perfil de amenazas específico de la empresa etiquetados con CVE particulares, TTPs utilizados por grupos APT y múltiples parámetros MITRE ATT&CK®. El equipo de SOC Prime de desarrolladores de contenido y colaboradores de Threat Bounty están enriqueciendo constantemente la biblioteca global de contenido SOC con algoritmos de detección y respuesta multiplataforma, parsers, configuraciones, reglas YARA, modelos de aprendizaje automático y tableros. La nueva regla lanzada por Emir Erdogan permite la detección proactiva de explotación de CVE-2020-14882. Puedes descargar este contenido SOC directamente desde Threat Detection Marketplace:

  • Introduce “CVE-2020-14882” en el campo Buscar y la página de Contenido se actualizará mostrando los resultados de búsqueda que coincidan con tus criterios.
  • Haz clic en el elemento de contenido con el contenido de detección que necesitas. 



  • Selecciona la plataforma para convertir la regla al formato aplicable a tu solución de seguridad.
  • Implementa manualmente contenido en tu instancia de SIEM, EDR o NTDR con un solo clic. 

 

Actualmente, este contenido SOC que aborda CVE-2020-14882 está disponible para la mayoría de las soluciones SIEM y EDR, incluido el formato de firma abierta Sigma, Elastic  Stack, y herramientas de seguridad basadas en la nube como Azure Sentinel, Sumo Logic y Chronicle Security.

Las traducciones para Corelight, CrowdStrike, Microsoft Defender ATP y Sysmon llegarán pronto.


¿Buscas el contenido SOC más reciente compatible con tus herramientas de seguridad? Regístrate en Threat Detection Marketplace ¡es totalmente gratis! Si te gusta codificar y deseas crear tu propio contenido curado, únete a nuestro programa Threat Bounty y ayúdanos a enriquecer la biblioteca de contenido de Threat Detection Marketplace.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Blog, Plataforma SOC Prime — 2 min de lectura
La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Steven Edwards
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Blog, Últimas Amenazas — 5 min de lectura
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Veronika Telychko