Oracle WebLogic Server : exploitation active d’une vulnérabilité RCE (CVE-2020-14882)

Par Bhabesh Raj Rai, Associate Security Analytics Engineer

La version d’octobre de la Critical Patch Update (CPU) trimestrielle d’Oracle a corrigé un total de 402 vulnérabilités pour ses différentes familles de produits. Plus de la moitié des vulnérabilités étaient exploitables à distance et ne nécessitaient pas d’authentification. L’une de ces vulnérabilités, CVE-2020-14882, est une faille RCE dans WebLogic Server avec un score CVSS de 9,8 sur 10. Les exploits PoC publiés montrent que les attaquants exploitent activement la vulnérabilité CVE-2020-14882 à l’aide de honeypots.

Selon Oracle, la complexité de l’attaque est faible, ne nécessite aucun privilège et est exploitable par des cybercriminels via le protocole HTTP. Les versions affectées par cette vulnérabilité sont 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0. Une simple analyse Shodan le 4 novembre dernier a révélé environ 3000 endpoints au niveau de la WebLogic Console sur le port HTTP 7001.

Une semaine après la publication du correctif, Johannes B.Ullrich de SANS, a déclaré que sur la base de la télémétrie du honeybot, les cybercriminels exploitent désormais activement la vulnérabilité à partir d’un groupe de quatre adresses IP : 114.243.211.182, 139.162.33.228, 185.225.19.240 et 84.17. 37.239. Ullrich a souligné que l’exploit, qui s’avère être une simple et unique requête GET, provient d’un article de blog vietnamien publié le 28 octobre 2020.

L’expert en sécurité Kevin Beaumont a expliqué dans un tweet comment les attaquants pouvaient exploiter la faille via une requête POST.

Comme indiqué dans le journal ISC d’Ullrich, les attaquants peuvent facilement exploiter la vulnérabilité via une seule requête GET. LogPoint peut détecter cette tentative d’exploitation en recherchant le portail admin ‘console.portal’ dans l’URL de la requête.

(url = "*console.portal*exec(*" OR resource = "*console.portal*exec(*")

De plus, il est important de consulter les logs pour les requêtes HTTP qui incluent une traversée de répertoire (path traversal) à double codage %252E%252E%252F, pouvant indiquer une potentielle tentative d’exploitation.

(url = "*%252E%252E%252F*" OR resource = "*%252E%252E%252F*")

N’oubliez pas que LogPoint peut également générer des alertes concernant toute activité réseau à partir de ces 4 adresses IP, fournies dans le journal ISC, et que les attaquants utilisent pour exploiter activement les honeypots en question.

(device_category=Firewall OR device_category=ProxyServer) (source_address IN [114.243.211.182, 139.162.33.228, 185.225.19.240, 84.17.37.239] OR destination_address IN [114.243.211.182, 139.162.33.228, 185.225.19.240, 84.17.37.239])

Si vous pensez que votre serveur a déjà été compromis, il est préférable de surveiller les créations de processus enfants à l’aide d’une invite de commande et d’un PowerShell afin de détecter toute exécution réussie de code à distance.

norm_id=WinServer label="Process" label=Create parent_process IN ["*\cmd.exe", "*\powershell.exe"]

Les attaquants continuent de cibler massivement les serveurs Oracle WebLogic avec d’exploits critiques provenant de la vulnérabilité de désérialisation critique (CVE-2019-2725), qui a été utilisée pour propager le ransomware Sodinokibi au niveau d’une autre faille RCE critique (CVE-2019-2729). Les deux vulnérabilités ont été activement exploitées sur le terrain.

Nous conseillons vivement aux utilisateurs d’Oracle WebLogic Server de mettre à jour leurs systèmes dès que possible. Il convient de noter que pour permettre aux attaquants de réussir l’exploitation depuis Internet, la console admin, normalement sur le port 7001, doit être exposée en externe. Cependant, les menaces internes qui se cachent à l’intérieur de l’entreprise peuvent exploiter la faille, nous recommandons donc aux administrateurs système de corriger leurs systèmes.