【漏洞预警】Weblogic最新反序列化远程命令执行漏洞(绕过 CVE-2019-2725 补丁)

liudao  2016天前

weblogic.jpg


概述

近日,白帽汇安全研究院监测到互联网上曝出了Oracle WebLogic反序列化远程命令执行漏洞。WebLogic是美国Oracle公司出品的Java应用服务器,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。攻击者可利用该漏洞在未授权的情况下远程执行命令。和CVE-2019-2725(CNVD-C-2019-48814)不同,该漏洞可以绕过最新的补丁。由于weblogic使用人数众多,其中包含一些重要单位,且目前官方未发布相关补丁,所以漏洞危害非常严重。希望相关用户采取下方的临时修复方案进行应急。

分布情况

根据FOFA的数据统计,全球共有26421个开放的weblogic服务。其中美国最多,有11284个开放服务。其次是中国,有6852个开放的weblogic服务。伊朗排第三,有2204个开放的weblogic服务。德国有453个开放的weblogic服务。加拿大有414个开放的weblogic服务。

1.png

2.png

国内的weblogic服务分布如下,北京最多,有3660个服务,广东有394个服务,上海有393个服务,浙江有271个服务,江苏有209个服务。

3.png

4.png

漏洞危害

  • 高危

影响版本

  • WebLogic 10.X

  • WebLogic 12.1.3

漏洞POC

目前,文中提到的漏洞相关PoC,FOFA客户端目前已支持检测上述漏洞。

weblogic_poc.png

修复建议

目前,Oracle官方暂未发布补丁,临时解决方案如下:

  • 1、通过访问策略控制禁止 /_async/跟/wls-wsat/ 路径的URL访问。
  • 2、删除 wls9_async_response.war 与 wls-wsat.war 文件及相关文件夹,并重启 Weblogic 服务。进行删除操作可能造成未知后果,请谨慎操作。 需要删除的文件路径如下:

    10.3.*版本路径:

    \Middleware\wlserver_10.3\server\lib\

    %DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\ %DOMAIN_HOME%\servers\AdminServer\tmp.internal\

    12.1.3 版本路径:

    \Middleware\Oracle_Home\oracle_common\modules\

    %DOMAIN_HOME%\servers\AdminServer\tmp.internal\

    %DOMAIN_HOME%\servers\AdminServer\tmp_WL_internal\

相关补丁请密切关注 Oracle 官方 补丁通告。

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

我一锤子  :  哎哟,卧槽 卧槽
2016天前 回复
嘤嘤嘤  :  emmmm
2016天前 回复
昵称
邮箱
提交评论