【漏洞预警】Weblogic最新远程命令执行漏洞（CVE-2018-2894&CVE-2018-2893）

BaCde 2103天前

2018年7月18日，Oracle官方发布旗下多个产品的关键补丁更新CPU（Critical Patch Update）,其中包含8个9.8评分的Weblogic严重漏洞。其中包含Weblogic反序列化漏洞(CVE-2018-2893)和Weblogic远程命令执行漏洞(CVE-2018-2894)。漏洞可以使远程攻击者可以在未授权的情况下远程执行代码，提升系统权限，控制weblogic服务器。目前，官方只对付费用户提供补丁下载链接。需要补丁的请发送邮件给service@baimaohui.net 获取补丁。请各运维人员，站长及时进行修复。做好防范措施，以免受到不必要的损失。

概况

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

目前FOFA系统最新数据（一年内数据）显示全球范围内共有36537个Weblogic对外开放服务。韩国使用数量最多，共有17923台，美国第二，共有5993台，中国第三，共有5187台，荷兰第四，共有2592台，伊朗第五，共有696台。

全球范围内weblogic分布情况（仅为分布情况，非漏洞影响情况）

中国地区中北京市使用用数量最多，共有1376台；浙江省第二，共有556台台，广东省第三，共有498台，江苏省第四，共有434台，上海市第五，共有355台。

中国地区weblogic分布情况（仅为分布情况，非漏洞影响情况）

危害等级

严重

漏洞原理

CVE-2018-2894

Oracle Fusion中间件（子组件：WLS - Web服务）的Oracle WebLogic Server组件中的漏洞。攻击者可通过HTTP在未经身份验证的情况下进行攻击，执行任意系统命令，成功利用此漏洞可造成Weblogic服务器被接管。漏洞严重。7 月 19 号国家互联网应急中心 CNCERT 发出通告，指出 CVE-2018-2894 本质上为任意文件上传漏洞，可直接getshell漏洞，可直接获取权限。两个页面分别为/ws_utc/begin.do，/ws_utc/config.do。经过白帽汇安全研究院研究发现，该漏洞主要有web service的客户端测试页面中存在，该功能在默认安装情况下是关闭的。该漏洞仅对开发模式下有效，生产模式下需要登录，该模式下也就无法触发漏洞。

CVE-2018-2893

该漏洞通过JRMP协议利用RMI机制的缺陷达到执行任意反序列化代码的目的，攻击者可以在未授权的情况下构造特定的数据包到T3协议中，从而实现远程攻击，获取系统权限。该漏洞由于官方对CVE-2018-2628漏洞发布的补丁未有效修复，攻击者仍可绕过该漏洞进行攻击，在4月份白帽汇安全研究院已经发现该漏洞仍可利用，并提供相应POC，近日该漏洞被官方分配CVE编号并提供相应补丁，FOFA平台已经确认并更新此漏洞POC信息。

影响

目前漏洞影响版本号包括：

Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3

漏洞POC

目前FOFA客户端平台已经更新CVE-2018-2893的检测POC。

漏洞实际影响版本约20余个，其中公布受影响的4个为官方提供修复补丁的4个版本，其余版本仍有可能受到影响。

CVE编号

CVE-2018-2894
CVE-2018-2893

修复建议

1、安装补丁，用户可以通过
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html 连接获取补丁信息。如果无法下载的用户可以发送邮件至service@baimaohui.net。

注：如果使用的是不支持补丁的版本，请升级版本至最新版本。

白帽汇会持续对该漏洞进行跟进。后续可以持续本链接。