【安全通报】WebLogic 0day反序列化漏洞

0nise  18天前

1.png

WebLogic 是美国 Oracle 公司出品的 Java 应用服务器,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。

近期白帽汇安全研究院检测发现在野的 Oracle WebLogic 远程命令执行漏洞最新利用方式,攻击者可以通过发送精心构造的恶意请求,获得目标服务器的权限,并在未授权的情况下执行远程命令,最终获取服务器的权限。针对漏洞的新的利用方式,官方暂时未发布补丁,所以建议受到影响的用户可根据临时修复建议进行处置,以防服务器处于高风险之中。

FOFA 查询

app="BEA-WebLogic-Server" ||  app="Weblogic_interface_7001"

影响范围

Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0

根据目前FOFA系统最新数据,显示全球范围内(app="BEA-WebLogic-Server" || app="Weblogic_interface_7001")共有 81,324 个相关服务对外开放。美国使用数量最多,共有 22,663 个;中国第二,共有 17,981 个;荷兰第三,共有 7,740 个;德国第四,共有 4,448 个;伊朗第五,共有 3,699 个。全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

4.png

中国大陆地区北京使用数量最多,共有 4,573 个;广东第二,共有 985 个;上海第三,共有 914 个;吉林第四,共有 665 个;江苏第五,共有 554 个。

5.png

漏洞环境——Vulfocus

目前 Vulfocus 已经集成 Weblogic 环境,可通过

docker pull vulfocus/weblogic-cve_2018_2628:latest
docker pull vulfocus/weblogic-cve_2017_10271:latest
docker pull vulfocus/weblogic-cve_2020_2551:latest

进行拉取运行,可也通过 http://vulfocus.fofa.so/ 进行测试。

3.png

临时修复建议

1、可通过关闭IIOP协议对此漏洞进行临时防御。操作如下:在Weblogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。重启Weblogic项目,使配置生效。

7.jpg

2、对T3服务进行控制控制T3服务的方法:在上图这个WebLogic界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入:

security.net.ConnectionFilterImpl

然后在连接筛选器规则中输入:

127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s

最后保存并重启服务器即可生效。

8.png

3、升级 JDK 至最新版本。

https://www.oracle.com/java/technologies/javase-downloads.html

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论