Exploit.Win32.CVE-2020-14882

شرح کلی

نوع: آسیب‌پذیری (Vulnerability)
پلتفرم آسیب‌پذیر: Oracle WebLogic Server
نسخه‌های آسیب‌پذیر: 10.3.6.0.0 تا 14.1.1.0.0
تاریخ ارائه وصله امنیتی توسط مایکروسافت: اکتبر ۲۰۲۰ (مهر ۱۳۹۹)
ماژول آسیب‌پذیر: مؤلفه کنسول (Console Component)
نوع آسیب‌پذیری: اجرای غیر مجاز کد از راه دور (Unauthenticated Remote Code Execution)
درجه تخریب: بالا
بدافزار استفاده‌کننده:
Miner.Win64.CoinMiner.a
Trojan.Win32.DarkIRC.Ss1

آسیب‌پذیری (Vulnerability) چیست؟

آسیب‌پذیری در امنیت رایانه به معنای وجود یک نقطه ضعف در یک پلتفرم است که می‌تواند توسط یک فرد نفوذگر و یا بدافزار مورد سوءاستفاده قرار گیرد و موجب دسترسی غیرمجاز به سیستم رایانه‌ای شود. آسیب‌پذیری‌ها به نفوذگران اجازه اجرای دستورات، دسترسی به حافظه سیستم، نصب بدافزار و سرقت،تخریب و تغییر اطلاعات با اهمیت سازمان‌ها و افراد را می‌دهند.

آسیب‌پذیری CVE-2020-14882 چیست؟

این آسیب‌پذیری که دارای درجه خطر بسیار بالا (CVSS ۹.۸) است، در مؤلفه کنسول نرم‌افزار Oracle Weblogic Server وجود دارد. با استفاده از این آسیب‌پذیری، نفوذگر می‌تواند از طریق پروتکل HTTP و پورت ۷۰۰۱ که مختص Weblogic Server است به این سرور دسترسی اجرای کد از راه دور (RCE) پیدا کرده و دستورات مورد نظر خود را روی آن اجرا کند.
نفوذگر برای استفاده از این آسیب‌پذیری بدون نیاز به احراز هویت در Weblogic Server و تنها با ارسال یک درخواست HTTP به این سرور که حاوی کدهای مخرب باشد، اعمال مخرب خود را انجام می‌دهد. کدهای مخرب جهت دسترسی به یک سرور آلوده می‌تواند اجرای یک پردازه همچون cmd.exe با سطح دسترسی بالا و یا هر دستور دیگری باشد.

توضیحات فنی

یک نمونه بدافزار ماینری که جهت انتشار خود از این آسیب‌پذیری استفاده می‌کند، به این شکل عمل می‌کند که به Weblogic Server موردنظر خود دستور اجرای کدهای XMLای را می‌دهد که سبب دانلود و اجرای یک فایل Powershell شده و در نهایت سبب آلوده شدن سیستم می‌شود. در تصویر زیر نحوه استفاده این بدافزار از آسیب‌پذیری مورد نظر قابل مشاهده است:

 

پیشنهادات امنیتی

جهت در امان ماندن از اینگونه حملات، دسترسی به پرتال ادمین Weblogic Server را به شبکه محلی محدود کرده و همچنین از به‌روز بودن نرم‌افزارهای خود به آخرین وصله‌های ارائه شده اطمینان حاصل کنید.

روش مقابله و پاکسازی سیستم

بخش جلوگیری از نفوذ (IPS) آنتی ویروس پادویش، تلاش‌ها برای ایجاد آلودگی‌ به واسطه وجود این آسیب‌پذیری‌ را شناسایی و از ورود آنها به سیستم قربانی جلوگیری می‌کند.