CVE-2020-14882

[post-views]
Novembre 12, 2020 · 4 min di lettura
CVE-2020-14882

A fine ottobre 2020, il mondo della cybersecurity ha individuato attività dannose mirate ai server Oracle WebLogic. Questa attività ha preso la forma di un’esploitazione ricorrente di una vulnerabilità RCE nel componente console del server Oracle WebLogic noto come CVE-2020-14882. Questo CVE è stato classificato come critico ottenendo un punteggio di 9,8 sulla scala CVSS. 

Panoramica CVE-2020-14882

La SANS ISC insieme a Rapid7 Labs sono state le prime comunità di cybersecurity a monitorare il comportamento degli avversari che compromettevano il server Oracle WebLogic attraverso questa grave vulnerabilità RCE. Il fatto che questa vulnerabilità sia stata sfruttata attivamente poco dopo il rilascio di una patch da parte di Oracle ha aggiunto alla crescente tensione. L’esecuzione di richieste HTTP compromettenti consente agli attori della minaccia di ottenere il pieno controllo sull’host. Un cyber criminale remoto non autenticato può sfruttare questo punto debole nel server Oracle WebLogic utilizzando un’unica richiesta HTTP GET. 

Ecco un Proof of Concept open-source per CVE-2020-14882 rilasciato su GitHub.

CVE-2020-14882 Tecniche Proattive di Rilevamento e Mitigazione degli Exploit

Per rispondere ai tentativi di sfruttamento, Oracle ha rilasciato rapidamente patch per CVE-2020-14882. Le seguenti versioni del server si sono dimostrate maggiormente suscettibili a questa grave vulnerabilità:

  • 12.1.3.0.0
  • 12.2.1.3.0
  • 12.2.1.4.0
  • 14.1.1.0.0

Si raccomanda vivamente alle organizzazioni che utilizzano il server Oracle WebLogic di applicare le patch rilasciate per migliorare le loro capacità di difesa contro i tentativi degli attaccanti di sfruttare CVE-2020-14882. Le aziende che non sono in grado di applicare le patch nel breve termine possono ricorrere a un insieme di tecniche di mitigazione. Le seguenti tecniche non possono sostituire l’applicazione della patch, ma possono mitigare la minaccia, nello specifico:

  • Blocco dell’accesso al portale di amministrazione 
  • Monitoraggio costante del traffico di rete per le richieste HTTP che compromettono il server
  • Controllo delle attività sospette eseguite dall’applicazione, come ad esempio cmd.exe or /bin/sh

Secondo il motore di ricerca Spyce, oltre 3.000 server Oracle WebLogic sono ancora vulnerabili a CVE-2020-14882 anche dopo il rilascio della patch. Ciò incoraggia i CISO e i loro membri del team a ottenere contenuti SOC pertinenti compatibili con gli strumenti di sicurezza dell’organizzazione per difendersi proattivamente dagli exploit di CVE-2020-14882.

Contenuto SOC Etiichettato con CVE-2020-14882

SOC Prime Threat Detection Marketplace offre oltre 81.000 elementi di contenuto SOC personalizzati per il profilo di minaccia specifico dell’azienda etichettati con CVE particolari, TTP utilizzati da gruppi APT e più parametri MITRE ATT&CK®. Il Soc Prime Team di sviluppatori di contenuti e i contributori dei contenuti di Threat Bounty stanno costantemente arricchendo la libreria di contenuti SOC globale con algoritmi di rilevamento e risposta cross-platform, parser, configurazioni, regole YARA, modelli di machine learning e dashboard. La nuova regola rilasciata da Emir Erdogan consente il rilevamento proattivo degli exploit di CVE-2020-14882. Puoi scaricare questo contenuto SOC direttamente dal Threat Detection Marketplace:

  • Inserisci “CVE-2020-14882” nel campo di Ricerca , e la pagina di Contenuto si aggiornerà mostrando i risultati della ricerca che corrispondono ai tuoi criteri.
  • Clicca sull’elemento di contenuto con il contenuto di rilevamento di cui hai bisogno. 



  • Seleziona la piattaforma per convertire la regola nel formato applicabile alla tua soluzione di sicurezza.
  • Distribuisci manualmente il contenuto alla tua istanza SIEM, EDR o NTDR con un solo clic. 

 

Attualmente, questo contenuto SOC che affronta CVE-2020-14882 è disponibile per la maggior parte delle soluzioni SIEM ed EDR, tra cui il formato open signature Sigma, Elastic Stack e strumenti di sicurezza basati su cloud come Azure Sentinel, Sumo Logic e Chronicle Security.

Le traduzioni per Corelight, CrowdStrike, Microsoft Defender ATP e Sysmon sono in arrivo.


Cerchi l’ultimo contenuto SOC compatibile con i tuoi strumenti di sicurezza? Iscriviti a Threat Detection Marketplace è totalmente gratuito! Se ti piace programmare e vuoi creare il tuo contenuto curato, unisciti al nostro Threat Bounty Program e aiutaci ad arricchire la libreria di contenuti del Threat Detection Marketplace.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Blog, Piattaforma SOC Prime — 3 min di lettura
Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Steven Edwards
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Blog, Ultime Minacce — 6 min di lettura
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Veronika Telychko