Date de la divulgation (source) : 14 avril 2020 (Oracle Critical Patch Update)
Date de signalement comme activement exploité (source) : 7 janvier 2025
CVE-2020-2883 est une vulnérabilité critique affectant Oracle WebLogic Server versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, et 12.2.1.4.0, avec un score CVSS de 9.8.
Cette vulnérabilité permet à un attaquant non authentifié disposant d'un accès réseau via IIOP (Internet Inter-ORB Protocol) ou T3 (protocole propriétaire de WebLogic) d'exécuter un code arbitraire sur les serveurs Oracle WebLogic concernés. L'exploitation réussie de cette vulnérabilité peut entraîner la prise de contrôle des instances de serveurs vulnérables.
Oracle a corrigé cette vulnérabilité il y a plus de 4 ans, en avril 2020, et a peu après a averti d'une exploitation active, les invitant à appliquer immédiatement un correctif. Malgré cela, la vulnérabilité n'a été ajoutée que récemment à la liste des vulnérabilités exploitées connues (KEV) de la CISA, le 7 janvier 2025. En l'absence de rapports récents suggérant une recrudescence potentielle de l'exploitation, il semble que cette vulnérabilité ait été ajoutée par mesure de précaution. Quoi qu'il en soit, si cette vulnérabilité n'est pas corrigée dans votre réseau, il convient d'y remédier au plus vite.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2020-2883 - CVSS 9.8 (Critique) - attribué par NVD |
| Description de la vulnérabilité |
Vulnérabilité dans le produit Oracle WebLogic Server d'Oracle Fusion Middleware (composant : Core). Les versions supportées qui sont affectées sont 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 et 12.2.1.4.0. Cette vulnérabilité facilement exploitable permet à un attaquant non authentifié ayant un accès réseau via IIOP, T3 de compromettre Oracle WebLogic Server. Les attaques réussies de cette vulnérabilité peuvent aboutir à la prise de contrôle du serveur Oracle WebLogic. |
| Date de la divulgation |
14 avril 2020 (Oracle Critical Patch Update) |
| Actifs touchés |
Oracle WebLogic Server, produit d'Oracle Fusion Middleware (composant : Core) |
| Versions de logiciels vulnérables |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 |
| PoC disponible ? |
Plusieurs exploits PoC sont disponibles sur GitHub. |
| Statut d'exploitation |
Cette vulnérabilité est activement exploitée et a été ajoutée à CISA KEV le 7 janvier 2025. |
| Statut du patch |
Les correctifs sont disponibles dans le cadre de la mise à jour Oracle Mise à jour des correctifs critiques d'avril 2020 d'Oracle. Il est fortement conseillé aux organisations de les appliquer immédiatement. |
Censys Perspective
Au moment de la rédaction du présent document, Censys a observé 236 serveurs Oracle WebLogic exposés. Une grande partie d'entre eux (67%) sont géolocalisés en Chine. Il convient de noter que toutes les instances observées ne sont pas nécessairement vulnérables, car nous ne disposons pas toujours de versions spécifiques.
Nous avons observé 139 hôtes avec la version exposée 10.3.6.0. Alors que la version 10.3.6.0.0 est explicitement répertoriée dans le NVD comme une version vulnérable, la version 10.3.6.0 ne l'est pas. Cependant, en raison des variations dans les pratiques de versionnement sémantique, il n'est pas clair si la version 10.3.6.0 doit également être considérée comme vulnérable. En l'absence d'informations définitives, nous sommes contraints de supposer que la version 10.3.6.0 n'est pas vulnérable.
Carte des instances exposées du serveur Oracle WebLogic
Censys Requête de recherche :
services.software: (vendor="Oracle" and product="WebLogic Server")
Notez que cette empreinte a été récemment déployée et que les résultats peuvent prendre 24 heures pour se propager complètement.
Censys Requête ASM :
host.services.software: (vendor="Oracle" and product="WebLogic Server")
Risque :
risks.name: "Vulnerable Oracle WebLogic Server [CVE-2020-2883]"
Notez que ce risque a été récemment déployé et que les résultats peuvent prendre 24 heures pour se propager complètement.
Références
