【安全通报】WebLogic 0day反序列化漏洞
WebLogic 是美国 Oracle 公司出品的 Java 应用服务器,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。
近期白帽汇安全研究院检测发现在野的 Oracle WebLogic 远程命令执行漏洞最新利用方式,攻击者可以通过发送精心构造的恶意请求,获得目标服务器的权限,并在未授权的情况下执行远程命令,最终获取服务器的权限。针对漏洞的新的利用方式,官方暂时未发布补丁,所以建议受到影响的用户可根据临时修复建议进行处置,以防服务器处于高风险之中。
FOFA 查询
app="BEA-WebLogic-Server" || app="Weblogic_interface_7001"
影响范围
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
根据目前FOFA系统最新数据,显示全球范围内(app="BEA-WebLogic-Server" || app="Weblogic_interface_7001")共有 81,324 个相关服务对外开放。美国使用数量最多,共有 22,663 个;中国第二,共有 17,981 个;荷兰第三,共有 7,740 个;德国第四,共有 4,448 个;伊朗第五,共有 3,699 个。全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)
中国大陆地区北京使用数量最多,共有 4,573 个;广东第二,共有 985 个;上海第三,共有 914 个;吉林第四,共有 665 个;江苏第五,共有 554 个。
漏洞环境——Vulfocus
目前 Vulfocus 已经集成 Weblogic 环境,可通过
docker pull vulfocus/weblogic-cve_2018_2628:latest
docker pull vulfocus/weblogic-cve_2017_10271:latest
docker pull vulfocus/weblogic-cve_2020_2551:latest
进行拉取运行,可也通过 http://vulfocus.fofa.so/ 进行测试。
临时修复建议
1、可通过关闭IIOP协议对此漏洞进行临时防御。操作如下:在Weblogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。重启Weblogic项目,使配置生效。
2、对T3服务进行控制控制T3服务的方法:在上图这个WebLogic界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入:
security.net.ConnectionFilterImpl
然后在连接筛选器规则中输入:
127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s
最后保存并重启服务器即可生效。
3、升级 JDK 至最新版本。
https://www.oracle.com/java/technologies/javase-downloads.html
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
最新评论