freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Oracle WebLogic Server超危漏洞CVE-2020-14882被用于部署Cobal...
2020-11-10 14:05:17

威胁行为者正在利用CVE-2020-14882超危漏洞攻击未修复的Oracle WebLogic Server,部署Cobalt Strike信标,以此在遭受入侵的设备上获取持续性远程访问权限。

Cobalt Strike是一款合法的渗透测试工具,但该工具同样可以被威胁行为者使用。他们在后漏洞利用任务中利用该工具部署可以让他们获取持续性远程访问权限的信标。

获得访问权限后,威胁行为者可以访问所入侵的服务器,窃取数据,以及部署第二阶段的恶意软件payloads。

Oracle在10月份的关键补丁更新中修复了CVE-2020-14882远程执行代码漏洞。该补丁发布一周后,攻击者已在扫描查找暴露在互联网上的WebLogic Server。

11月1日,Oracle发布了一则紧急安全更新,修复另一个影响WebLogic Server的远程执行代码漏洞CVE-2020-14750。未经身份验证的远程攻击者可利用该漏洞接管未修复的实例。

11月3日,美国SANS技术研究所表示,针对脆弱的WebLogic实例的最新系列攻击开始于上周末。

攻击者正在利用base64编码的Powershell脚本在未修复的Oracle WebLogic Server上下载和安装Cobalt Strike payloads。

1604988250_5faa2d5a2b08f5a2b4523.png!small

Cobalt Strike部署

有分析报告指出,2020年第三季度66%的勒索软件攻击都涉及红队工具Cobalt Strike,这表明随着勒索软件行为者弃用商业木马后,越来越依赖该工具。

网络安全公司Spyse发现超过3300个受到CVE-2020-14882影响Oracle WebLogic Server暴露在线。

鉴于CVE-2020-14882和CVE-2020-14750的利用难度低,可被未经身份验证的攻击者用于接管脆弱的WebLogic Server,厂商已建议用户立即应用安全更新,阻止攻击。

# 资讯
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者