【防护方案】Weblogic Console HTTP 协议远程代码执行漏洞(CVE-2020-14882)

一、综述

在Oracle官方发布的2020年10月关键补丁更新公告CPU(Critical Patch Update)中,包含一个存在于Weblogic Console中的高危远程代码执行漏洞CVE-2020-14882。

该漏洞能够在无需身份验证的情况下被触发,影响面较大。

未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的 WebLogic Server 上执行任意代码。

官方给出的CVSS 评分为 9.8。

Oracle官方CPU链接:

https://www.oracle.com/security-alerts/cpuoct2020.html

二、漏洞影响范围

  • Oracle Weblogic Server 10.3.6.0.0
  • Oracle Weblogic Server 12.1.3.0.0
  • Oracle Weblogic Server 12.2.1.3.0
  • Oracle Weblogic Server 12.2.1.4.0
  • Oracle Weblogic Server 14.1.1.0.0

三、技术防护方案

3.1 官方修复方案

此次 Oracle 官方的 CPU已发布了针对该漏洞的补丁,请受影响用户及时下载补丁程序并安装更新。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

3.2 绿盟科技检测防护建议

3.2.1 绿盟科技检测类产品与服务

内网资产可以使用绿盟科技的入侵检测系统(IDS) 、统一威胁探针(UTS)进行检测。

  • 入侵检测系统(IDS)

http://update.nsfocus.com/update/listIds

  • 统一威胁探针(UTS)

http://update.nsfocus.com/update/bsaUtsIndex

3.2.1.1 检测产品升级包/规则版本号
检测产品升级包/规则版本号
IDS5.6.10.23802、5.6.9.23802
UTS5.6.10.23802
  • IDS 升级包下载链接:

5.6.10.23802

http://update.nsfocus.com/update/downloads/id/109611

5.6.9.23802

http://update.nsfocus.com/update/downloads/id/109610

  • UTS升级包下载链接:

http://update.nsfocus.com/update/downloads/id/109641

3.2.2 绿盟科技防护类产品

使用绿盟科技防护类产品,入侵防护系统(IPS)、Web应用防护系统(WAF)、下一代防火墙系统(NF)来进行防护。

  • 入侵防护系统(IPS)

http://update.nsfocus.com/update/listIps

  • Web应用防护系统(WAF)

http://update.nsfocus.com/update/wafIndex

  •  下一代防火墙系统(NF)

http://update.nsfocus.com/update/listNf

3.2.2.1 防护产品升级包/规则版本号
防护产品升级包/规则版本号规则编号
IPS5.6.10.23802、5.6.9.2380225079
WAF6.0.7.1.46624、6.0.7.0.4662427526197
NF6.0.2.832、6.0.1.83225079
  • IPS 升级包下载链接:

5.6.10.23802

http://update.nsfocus.com/update/downloads/id/109611

5.6.9.23802

http://update.nsfocus.com/update/downloads/id/109610

  • WAF 升级包下载链接:

6.0.7.1.46624

http://update.nsfocus.com/update/downloads/id/109607

6.0.7.0.46624

http://update.nsfocus.com/update/downloads/id/109608

  • NF 升级包下载链接:

6.0.2.832

http://update.nsfocus.com/update/downloads/id/109629

6.0.1.832

http://update.nsfocus.com/update/downloads/id/109628

3.2.3 安全平台

平台升级包/规则版本号
ISOP(绿盟智能安全运营平台)已能够告警该攻击
TAM(绿盟全流量威胁分析平台)已有规则覆盖

四、产品使用指南

4.1 UTS检测配置

在系统升级中点击离线升级,选择规则升级文件,选择对应的升级包文件,点击上传,等待升级成功即可。

4.2 IPS防护配置

在系统升级中点击离线升级,选择系统规则库,选择对应的文件,点击上传。

更新成功后,在系统默认规则库中查找规则编号,即可查询到对应的规则详情。

注意:该升级包升级后引擎自动重启生效,不会造成会话中断,但ping包会丢3~5个,请选择合适的时间升级。

4.3 WAF防护配置

在WAF的规则升级界面进行升级:

手动选择规则包,提交即可完成更新。

4.4 NF防护配置

在 NF 的规则升级界面进行升级:

手动选择规则包,提交即可完成更新。

Spread the word. Share this post!

Meet The Author

Leave Comment