CVE-2020-14882

[post-views]
Novembro 12, 2020 · 4 min de leitura
CVE-2020-14882

No final de outubro de 2020, o mundo da cibersegurança detectou atividades maliciosas direcionadas aos servidores Oracle WebLogic. Esta atividade tomou a forma de exploração recorrente de uma vulnerabilidade RCE no componente da console do servidor Oracle WebLogic conhecido como CVE-2020-14882. Este CVE foi classificado como crítico por alcançar uma pontuação de 9,8 na escala CVSS.

Visão Geral do CVE-2020-14882

O SANS ISC juntamente com o Rapid7 Labs foram as primeiras comunidades de cibersegurança a rastrear o comportamento dos adversários comprometendo o servidor Oracle WebLogic por meio desta falha crítica RCE. O fato de esta vulnerabilidade ter sido explorada ativamente logo após o lançamento de um patch pela Oracle contribuiu para a crescente tensão. Executar requisições HTTP comprometedores permite que atores de ameaças ganhem controle total sobre o host. Um criminoso cibernético remoto e não autenticado pode explorar este ponto fraco no servidor Oracle WebLogic usando uma única requisição HTTP GET.

Aqui está um Prova de Conceito de código aberto para o CVE-2020-14882 lançado no GitHub.

Técnicas Proativas de Detecção e Mitigação de Exploit para CVE-2020-14882

Para responder a tentativas de exploração, a Oracle lançou rapidamente patches para o CVE-2020-14882. As seguintes versões do servidor provaram ser as mais suscetíveis a esta vulnerabilidade crítica:

  • 12.1.3.0.0
  • 12.2.1.3.0
  • 12.2.1.4.0
  • 14.1.1.0.0

É altamente recomendável que as organizações que usam o servidor Oracle WebLogic apliquem os patches lançados para melhorar suas capacidades de defesa contra tentativas dos atacantes de explorar o CVE-2020-14882. As empresas que não puderem aplicar patches no curto prazo podem recorrer a um conjunto de técnicas de mitigação. As seguintes técnicas não podem substituir a aplicação de patches, mas podem mitigar a ameaça, mais especificamente:

  • Bloqueio de acesso ao portal de administração
  • Monitoramento constante do tráfego de rede para requisições HTTP comprometedoras do servidor
  • Verificação de atividades suspeitas executadas pelo aplicativo, como cmd.exe or /bin/sh

De acordo com o mecanismo de busca Spyce, mais de 3.000 servidores Oracle WebLogic ainda estão vulneráveis ao CVE-2020-14882 mesmo após o lançamento do patch. Isso incentiva os CISOs e seus membros de equipe a obter conteúdo SOC relevante compatível com as ferramentas de segurança da organização para defender proativamente contra explorações do CVE-2020-14882.

Conteúdo SOC Marcado com CVE-2020-14882

O SOC Prime Threat Detection Marketplace oferece mais de 81.000 itens de conteúdo SOC adaptados ao perfil de ameaça específico da empresa, marcados com CVE, TTPs usadas por grupos APT, e múltiplos parâmetros MITRE ATT&CK®. A equipe de desenvolvedores de conteúdo do SOC Prime e colaboradores do Threat Bounty estão constantemente enriquecendo a biblioteca global de conteúdo SOC com algoritmos de detecção e resposta, parsers, configurações, regras YARA, modelos de aprendizado de máquina e dashboards. A nova regra lançada por Emir Erdogan permite a detecção proativa de exploração do CVE-2020-14882. Você pode baixar este conteúdo SOC diretamente do Threat Detection Marketplace:

  • Digite “CVE-2020-14882” no campo de Busca , e a página de Conteúdo será atualizada mostrando os resultados da busca que correspondem aos seus critérios.
  • Clique no item de conteúdo com o conteúdo de detecção que você precisa.



  • Selecione a plataforma para converter a regra para o formato aplicável à sua solução de segurança.
  • Implante manualmente o conteúdo na sua instância SIEM, EDR ou NTDR com um único clique.

 

Atualmente, este conteúdo SOC abordando o CVE-2020-14882 está disponível para a maioria das soluções SIEM e EDR, incluindo o formato de assinatura aberta Sigma, Elastic Stack, e ferramentas de segurança baseadas em nuvem como Azure Sentinel, Sumo Logic, e Chronicle Security.

Traduções para Corelight, CrowdStrike, Microsoft Defender ATP, e Sysmon estarão disponíveis em breve.


Procurando pelo conteúdo SOC mais recente compatível com suas ferramentas de segurança? Inscreva-se no Threat Detection Marketplace é totalmente gratuito! Se você gosta de codificar e quer criar seu próprio conteúdo curado, junte-se ao nosso Programa Threat Bounty e nos ajude a enriquecer a biblioteca de conteúdo do Threat Detection Marketplace.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda
Blog, Plataforma SOC Prime — 3 min de leitura
A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda
Steven Edwards
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas
Ameaças Mais Recentes, Blog — 5 min de leitura
Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas
Veronika Telychko