Datum der Offenlegung (Quelle): 14. April 2020 (Oracle Critical Patch Update)
Datum, an dem die Sicherheitslücke als aktiv ausgenutzt gemeldet wurde (Quelle): 7. Januar 2025
CVE-2020-2883 ist eine kritische Sicherheitslücke, die die Oracle WebLogic Server-Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 und 12.2.1.4.0 betrifft, mit einem CVSS-Score von 9.8.
Diese Schwachstelle erlaubt es einem nicht authentifizierten Angreifer mit Netzwerkzugang über IIOP (Internet Inter-ORB Protocol) oder T3 (WebLogic's proprietäres Protokoll), beliebigen Code auf betroffenen Oracle WebLogic Servern auszuführen. Eine erfolgreiche Ausnutzung dieser Schwachstelle kann zur Übernahme der anfälligen Serverinstanzen führen.
Oracle hat diese Schwachstelle vor über 4 Jahren, im April 2020, gepatcht und kurz darauf warnte Kunden vor einer aktiven Ausnutzung und forderte sie auf, sofort einen Patch zu installieren. Trotzdem wurde die Schwachstelle erst kürzlich, am 7. Januar 2025, in die CISA-Liste der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen. Da es in letzter Zeit keine Berichte gab, die auf eine erneute Ausnutzung der Schwachstelle hindeuten, scheint dies eine Vorsichtsmaßnahme zu sein. Unabhängig davon sollte diese Schwachstelle in Ihrem Netzwerk so schnell wie möglich behoben werden, wenn sie noch nicht behoben wurde.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2020-2883 - CVSS 9.8 (Kritisch) - zugewiesen von NVD |
| Schwachstelle Beschreibung |
Sicherheitslücke im Oracle WebLogic Server-Produkt von Oracle Fusion Middleware (Komponente: Core). Unterstützte Versionen, die betroffen sind, sind 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 und 12.2.1.4.0. Die leicht ausnutzbare Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugang über IIOP, T3, Oracle WebLogic Server zu kompromittieren. Erfolgreiche Angriffe auf diese Sicherheitslücke können zur Übernahme von Oracle WebLogic Server führen. |
| Datum der Offenlegung |
14. April 2020 (Oracle Critical Patch Update) |
| Betroffene Vermögenswerte |
Oracle WebLogic Server Produkt von Oracle Fusion Middleware (Komponente: Core) |
| Anfällige Software-Versionen |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 |
| PoC verfügbar? |
Mehrere PoC-Exploits sind auf GitHub verfügbar. |
| Verwertungsstatus |
Diese Sicherheitslücke wird derzeit aktiv ausgenutzt und wurde am 7. Januar 2025 in die CISA KEV aufgenommen. |
| Patch-Status |
Die Patches sind als Teil von Oracles April 2020 Critical Patch Update. Unternehmen wird dringend empfohlen, sie sofort anzuwenden. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 236 exponierte Oracle WebLogic-Server. Ein großer Teil dieser Server (67%) sind in China angesiedelt. Beachten Sie, dass nicht alle beobachteten Instanzen zwangsläufig verwundbar sind, da wir nicht immer spezifische Versionen zur Verfügung haben.
Wir haben 139 Hosts mit der exponierten Version 10.3.6.0 beobachtet. Während 10.3.6.0.0 in der NVD ausdrücklich als gefährdete Version aufgeführt ist, ist 10.3.6.0 nicht gefährdet. Aufgrund der unterschiedlichen Praktiken bei der semantischen Versionierung ist jedoch unklar, ob 10.3.6.0 ebenfalls als angreifbar gelten sollte. In Ermangelung definitiver Informationen sind wir gezwungen, davon auszugehen, dass 10.3.6.0 nicht angreifbar ist.
Karte der exponierten Oracle WebLogic Server-Instanzen
Censys Search Abfrage:
services.software: (vendor="Oracle" and product="WebLogic Server")
Beachten Sie, dass dieser Fingerabdruck erst kürzlich bereitgestellt wurde und es 24 Stunden dauern kann, bis sich die Ergebnisse vollständig verbreitet haben.
Censys ASM-Abfrage:
host.services.software: (vendor="Oracle" and product="WebLogic Server")
Risiko:
risks.name: "Vulnerable Oracle WebLogic Server [CVE-2020-2883]"
Beachten Sie, dass dieses Risiko erst vor kurzem aufgetreten ist und es 24 Stunden dauern kann, bis sich die Ergebnisse vollständig verbreitet haben.
Referenzen
