【漏洞预警】Weblogic反序列化命令执行漏洞_CVE-2018-2628

大约一个月前
  • 情报类型 重大安全漏洞
  • 可信度
  • 情报威胁等级 严重情报
  • 公开情况
  • 提交人 BaCde

详情

北京时间4月18日凌晨,Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),该漏洞可以使远程攻击者可以在未授权的情况下远程执行代码,提升系统权限。危害等级严重。该#Weblogic#漏洞的相关的PoC已经开始流传,危害严重。白帽汇安全研究院提醒广大管理员,运维人员,站长及时进行修复。做好防范措施,以免受到不必要的损失。

概况

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

目前FOFA系统中全球范围内共有18120个Weblogic对外开放服务。中国使用数量最多,共有6162台,美国第二,共有3971台,荷兰第三,共有2433台,法国第四,共有489台,伊朗第五,共有407台。

 全球范围内weblogic分布情况(仅为分布情况,非漏洞影响情况)

中国地区中北京市使用用数量最多,共有1331台;广东省第二,共有641台台,上海市第三,共有619台,江苏省第四,共有527台,浙江省第五,共有451台。

2222.png

 中国地区weblogic分布情况(仅为分布情况,非漏洞影响情况)

危害等级

严重

原理危害

漏洞利用通过Weblogic服务器开放的T3服务建立Socket连接,然后攻击者发送精心构造的数据包到服务端,从而导致造成反序列化命令执行。该漏洞危害严重,可导致远程攻击者获取服务器权限,造成服务器被完全控制,被拖库等危害。

影响

目前漏洞影响版本号包括:

  • Weblogic 10.3.6.0

  • Weblogic 12.1.3.0

  • Weblogic 12.2.1.2

  • Weblogic 12.2.1.3

漏洞POC

FOFA客户端正在加紧录入相关PoC。

CVE编号

CVE-2018-2628

修复建议

1、安装补丁,用户可以通过http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html 连接中的信息安装补丁。
2、可临时通过限制T3协议的通信来防止漏洞被利用。

白帽汇会持续对该漏洞进行跟进。后续可以持续本链接。

参考

[1] http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html 

[2] 部分信息来源于内部社群。

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。


附件

评价

  • BaCde 2018-04-18
    创建了该情报!