CVE-2020-14882

[post-views]
novembre 12, 2020 · 4 min de lecture
CVE-2020-14882

Fin octobre 2020, le monde de la cybersécurité a repéré une activité malveillante ciblant les serveurs Oracle WebLogic. Cette activité a pris la forme d’une exploitation récurrente d’une faille RCE dans le composant console du serveur Oracle WebLogic connue sous le nom de CVE-2020-14882. Ce CVE a été classé comme critique avec un score de 9,8 sur l’échelle CVSS. 

Aperçu du CVE-2020-14882

Le SANS ISC ainsi que Rapid7 Labs ont été les premières communautés de cybersécurité à suivre le comportement des adversaires compromettant le serveur Oracle WebLogic via cette faille RCE critique. Le fait que cette vulnérabilité ait été activement exploitée peu après la sortie d’un correctif par Oracle a ajouté à la tension croissante. L’exécution de requêtes HTTP compromettantes permet aux acteurs de la menace de prendre le contrôle total de l’hôte. Un cybercriminel à distance non authentifié peut exploiter ce point faible dans le serveur Oracle WebLogic en utilisant une seule requête HTTP GET. 

Voici un Proof of Concept open-source pour CVE-2020-14882 publié sur GitHub.

Détection proactive et techniques d’atténuation des exploits CVE-2020-14882

Pour répondre aux tentatives d’exploitation, Oracle a rapidement publié des correctifs pour CVE-2020-14882. Les versions de serveur suivantes se sont révélées principalement sujettes à cette vulnérabilité critique :

  • 12.1.3.0.0
  • 12.2.1.3.0
  • 12.2.1.4.0
  • 14.1.1.0.0

Il est fortement recommandé aux organisations utilisant le serveur Oracle WebLogic d’appliquer les correctifs publiés pour renforcer leurs capacités de défense contre les tentatives des attaquants d’exploiter CVE-2020-14882. Les entreprises qui ne peuvent pas corriger à court terme peuvent recourir à un ensemble de techniques d’atténuation. Les techniques suivantes ne peuvent pas remplacer les correctifs, mais elles peuvent atténuer la menace, plus précisément :

  • Bloquer l’accès au portail d’administration 
  • Surveillance constante du trafic réseau pour les requêtes HTTP compromettant le serveur
  • Vérifier les activités suspectes exécutées par l’application, telles que cmd.exe or /bin/sh

Selon le moteur de recherche Spyce, plus de 3 000 serveurs Oracle WebLogic sont encore vulnérables à CVE-2020-14882 même après la publication du correctif. Cela encourage les CISOs et leurs équipes à obtenir du contenu SOC pertinent compatible avec les outils de sécurité de l’organisation pour se défendre de manière proactive contre les exploits CVE-2020-14882.

Contenu SOC tagué avec CVE-2020-14882

Le Threat Detection Marketplace de SOC Prime offre plus de 81 000 éléments de contenu SOC adaptés au profil de menace spécifique de l’entreprise tagué avec un CVE particulier, les TTPs utilisés par les groupes APT, et de multiples paramètres MITRE ATT&CK®.L’équipe de développeurs de contenu de SOC Prime et les contributeurs de contenu de Threat Bounty enrichissent constamment la bibliothèque de contenu SOC mondial avec des algorithmes de détection et de réponse cross-plateforme, des parseurs, des configurations, des règles YARA, des modèles d’apprentissage automatique et des tableaux de bord. La nouvelle règle publiée par Emir Erdogan permet la détection proactive des exploits de CVE-2020-14882. Vous pouvez télécharger ce contenu SOC directement depuis le Threat Detection Marketplace :

  • Entrez “CVE-2020-14882” dans le champ de recherche, et la page de contenu sera mise à jour en affichant les résultats de recherche correspondant à vos critères.
  • Cliquez sur l’élément de contenu contenant le contenu de détection dont vous avez besoin. 



  • Sélectionnez la plateforme pour convertir la règle au format applicable à votre solution de sécurité.
  • Déployez manuellement le contenu sur votre instance SIEM, EDR ou NTDR en un seul clic. 

 

Actuellement, ce contenu SOC concernant CVE-2020-14882 est disponible pour la majorité des solutions SIEM et EDR, y compris le format de signature ouverte Sigma, Elastic  Stack, et des outils de sécurité basés sur le cloud tels qu’Azure Sentinel, Sumo Logic et Chronicle Security.

Les traductions pour Corelight, CrowdStrike, Microsoft Defender ATP, et Sysmon arrivent bientôt.


Vous cherchez le dernier contenu SOC compatible avec vos outils de sécurité ? Inscrivez-vous au Threat Detection Marketplace c’est totalement gratuit ! Si vous aimez coder et souhaitez créer votre propre contenu sur mesure, rejoignez notre programme Threat Bounty et aidez-nous à enrichir la bibliothèque de contenu du Threat Detection Marketplace.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Blog, Plateforme SOC Prime — 3 min de lecture
Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Steven Edwards
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Blog, Dernières Menaces — 5 min de lecture
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Veronika Telychko