概述

近日，白帽汇安全研究院监测到互联网上曝出了Oracle WebLogic反序列化远程命令执行漏洞。WebLogic是美国Oracle公司出品的Java应用服务器，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。攻击者可利用该漏洞在未授权的情况下远程执行命令。和CVE-2019-2725（CNVD-C-2019-48814）不同，该漏洞可以绕过最新的补丁。由于weblogic使用人数众多，其中包含一些重要单位，且目前官方未发布相关补丁，所以漏洞危害非常严重。希望相关用户采取下方的临时修复方案进行应急。

分布情况

根据FOFA的数据统计，全球共有26421个开放的weblogic服务。其中美国最多，有11284个开放服务。其次是中国，有6852个开放的weblogic服务。伊朗排第三，有2204个开放的weblogic服务。德国有453个开放的weblogic服务。加拿大有414个开放的weblogic服务。

国内的weblogic服务分布如下，北京最多，有3660个服务，广东有394个服务，上海有393个服务，浙江有271个服务，江苏有209个服务。

漏洞危害

• 高危

影响版本

• WebLogic 10.X

• WebLogic 12.1.3

漏洞POC

目前，文中提到的漏洞相关PoC，FOFA客户端目前已支持检测上述漏洞。

修复建议

目前，Oracle官方暂未发布补丁，临时解决方案如下：

• 1、通过访问策略控制禁止 /_async/跟/wls-wsat/ 路径的URL访问。

• 2、删除 wls9_async_response.war 与 wls-wsat.war 文件及相关文件夹，并重启 Weblogic 服务。进行删除操作可能造成未知后果，请谨慎操作。 需要删除的文件路径如下：

  10.3.*版本路径：

  \Middleware\wlserver_10.3\server\lib\

  %DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\ %DOMAIN_HOME%\servers\AdminServer\tmp.internal\

  12.1.3 版本路径：

  \Middleware\Oracle_Home\oracle_common\modules\

  %DOMAIN_HOME%\servers\AdminServer\tmp.internal\

  %DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\

相关补丁请密切关注 Oracle 官方 补丁通告。

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。