> [!danger] CVSS 9.8 - Crítico > RCE não autenticado no Oracle WebLogic Server Console via path traversal que bypassa autenticação - explorável com único HTTP GET request. > [!warning] CISA KEV - Exploração Ativa Confirmada > Adicionada ao catálogo CISA KEV em 2021-11-03. PoC público disponível. Exploração massiva ativa logo após divulgação em outubro de 2020. > [!success] Patch Disponível > Oracle Critical Patch Update - outubro de 2020. Aplicar imediatamente. # CVE-2020-14882 - Oracle WebLogic Server Console Authentication Bypass RCE > CVSS: 9.8 · EPSS: 97% · Vendor: Oracle · Patch: Sim · CISA KEV: Sim ## Resumo **CVE-2020-14882** é uma vulnerabilidade crítica de **execução remota de código não autenticada** no **Oracle WebLogic Server Administration Console**. A falha permite que atacantes remotos não autenticados bypassem completamente o mecanismo de autenticação do console administrativo e executem código arbitrário no servidor com os privilégios do processo WebLogic - via **único HTTP GET request**. O pesquisador @janggg públicou análise detalhada demonstrando a exploração em uma única requisição GET, utilizando sequências de path traversal duplamente codificadas (`%252E%252E%252F`) que bypassam o filtro de autenticação do console. A SANS Internet Storm Center confirmou exploração ativa imediata após a divulgação do PoC. Múltiplos grupos APT, incluindo [[g0096-apt41]] e [[g0143-aquatic-panda]], exploraram ativamente esta vulnerabilidade em campanhas de espionagem e roubo de credenciais. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: **97%** de probabilidade de exploração - CISA KEV: adicionado em 2021-11-03 - Exploração massiva ativa desde outubro de 2020 ## Detalhes Técnicos A exploração utiliza path traversal duplamente codificado para bypass do filtro de autenticação: 1. **Console exposto:** WebLogic Administration Console geralmente na porta TCP 7001 2. **Path traversal:** Requisições com `%252e%252e%252f` (double-encoded `/../`) bypassam o filtro de autenticação 3. **Acesso ao console:** O bypass permite acesso direto a handlers do console administrativo sem credenciais 4. **Execução de código:** Via funcionalidades do console (deployment de aplicações, execução de MBeans) 5. **Exemplo de exploração:** ``` GET /console/css/%252E%252E%252Fconsole.portal HTTP/1.1 ``` **CVE relacionado:** A Oracle também lançou CVE-2020-14750 (patch suplementar de novembro de 2020) para cobrir um vetor adicional similar descoberto após CVE-2020-14882. ## Exploração **Status atual:** Exploração massiva histórica confirmada. Exploração continuada por atores APT em 2021+. **Grupos de ameaça utilizando:** - [[g0096-apt41]] - grupo chinês (Double Dragon) - utilizou WebLogic como vetor de acesso inicial em campanhas de espionagem e crime financeiro - [[g0143-aquatic-panda]] - grupo china-nexus com histórico de exploração de vulnerabilidades em servidores de aplicação **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração do console WebLogic exposto - [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - execução de comandos de sistema via console - [[t1078-valid-accounts|T1078 - Valid Accounts]] - criação de contas administrativas backdoor **Monitoramento de IoCs:** - HTTP GET com `%252e%252e%252f` ou `%252E%252E%252F` na URL - Acesso ao endpoint `/console.portal` de IPs externos - Processos filhos suspeitos spawned pelo Java process do WebLogic (cmd.exe, /bin/sh) ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Scan de porta 7001<br/>WebLogic Console exposto"] --> B["💥 Path Traversal<br/>Double-encoded traversal<br/>%252E%252E%252F bypassa auth"] B --> C["🔑 Acesso ao Console<br/>Handlers administrativos<br/>acessíveis sem credenciais"] C --> D["🛡️ Execução de Código<br/>Deploy de aplicação maliciosa<br/>ou execução via MBeans"] D --> E["🔗 Backdoor<br/>Criação de conta admin<br/>e implantação de webshell"] E --> F["📤 Exfiltração<br/>Roubo de credenciais<br/>e dados corporativos"] ``` ## Relevância LATAM/Brasil > [!latam] Impacto Regional > O Oracle WebLogic Server é amplamente utilizado no setor financeiro e governamental brasileiro como servidor de aplicações para sistemas corporativos críticos. Grandes bancos, seguradoras e órgãos do governo federal brasileiro operam sistemas legados baseados em WebLogic, frequentemente em versões antigas que podem permanecer vulneráveis. > > A exploração massiva documentada em 2020-2021, combinada com a simplicidade do ataque (um único HTTP GET), tornou esta CVE um vetor preferido para campanhas oportunistas e direcionadas contra infraestrutura corporativa na América Latina. O APT41, que explora ativamente esta vulnerabilidade, tem presença operacional documentada contra alvos latinoamericanos nos setores de tecnologia e telecomúnicações. > > Organizações brasileiras que utilizam WebLogic devem priorizar a migração para versões atualizadas e, criticamente, garantir que o console administrativo (porta 7001) nunca esteja exposto diretamente à internet. O CERT.br recomenda segmentação de rede e uso de WAF para proteger aplicações Java expostas. ## Mitigação **Patch oficial:** - Oracle Critical Patch Update - outubro de 2020 - Patch suplementar CVE-2020-14750 - novembro de 2020 - Documentação: [Oracle Security Alert](https://www.oracle.com/security-alerts/alert-CVE-2020-14750.html) **Ações recomendadas:** 1. Aplicar patches de outubro/novembro de 2020 imediatamente 2. **Restringir acesso ao console administrativo** - nunca expor porta 7001 na internet 3. Implementar firewall de rede bloqueando acesso externo à porta 7001 4. Verificar logs para requisições com path traversal ao endpoint `/console/` 5. Auditar deployments recentes e contas administrativas do WebLogic ## Notas Relacionadas **CVEs relacionados:** [[cve-2020-10148|CVE-2020-10148]] · [[cve-2019-19781|CVE-2019-19781]] · [[cve-2020-14750|CVE-2020-14750]] **Atores explorando:** [[g0096-apt41]] · [[g0143-aquatic-panda]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] **Setores em risco:** [[financial|financeiro]] · [[government|governo]] · [[technology|tecnologia]] · [[telecommunications|telecomúnicações]] ## Referências - [NVD - CVE-2020-14882](https://nvd.nist.gov/vuln/detail/CVE-2020-14882) - [Oracle October 2020 CPU](https://www.oracle.com/security-alerts/cpuoct2020.html) - [Rapid7 - WebLogic Complete Takeover](https://www.rapid7.com/blog/post/2020/10/29/oracle-weblogic-unauthenticated-complete-takeover-CVE-2020-14882-what-you-need-to-know/) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)