【安全通报】Weblogic 一月份更新多个高危漏洞

fmbd  123天前

Snipaste_2022-01-19_10-16-43.png

近日,Oracle官方 发布了 2022 年 1 月份的安全更新。涉及旗下产品(Weblogic Server、Database Server、Java SE、MySQL等)的 497 个漏洞。此次修复的漏洞中包括 25 个和 Weblogic 相关的漏洞,其中的 11 个漏洞无需身份验证和用户交互即可通过网络进行远程利用。

漏洞描述

Oracle WebLogic Server 是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。

CVE-2022-21306

由于 Oracle WebLogic Server 的核心组件中的输入验证问题,远程未经身份验证的攻击者可以通过 T3 访问网络利用此漏洞执行任意代码。

该漏洞 CVSS3评分:9.8,危害等级:严重

CVE-2022-21292

由于 Oracle WebLogic Server 的 Samples 组件中的输入验证问题,远程未经身份验证的攻击者可以通过 HTTP协议利用此漏洞。

该漏洞 CVSS3评分:7.5,危害等级:高危

CVE-2022-21371

由于 Oracle WebLogic Server 的 Web Container 组件中的输入验证问题,远程未经身份验证的攻击者可以通过 HTTP协议利用此漏洞。

该漏洞 CVSS3评分:7.5,危害等级:高危

CVE-2022-21252

由于 Oracle WebLogic Server 的 Samples 组件中的输入验证问题,远程未经身份验证的攻击者可以通过 HTTP协议利用此漏洞。

该漏洞 CVSS3评分:6.5,危害等级:中危

CVE-2022-21347

由于 Oracle WebLogic Server 的 核心组件中的输入验证问题,远程未经身份验证的攻击者可以通过 T3协议利用此漏洞。

该漏洞 CVSS3评分:6.5,危害等级:中危

CVE-2022-21350

由于 Oracle WebLogic Server 的 核心组件中的输入验证问题,远程未经身份验证的攻击者可以通过 T3协议利用此漏洞。

该漏洞 CVSS3评分:6.5,危害等级:中危

CVE-2022-21353

由于 Oracle WebLogic Server 的 核心组件中的输入验证问题,远程未经身份验证的攻击者可以通过 T3协议利用此漏洞。

该漏洞 CVSS3评分:6.5,危害等级:中危

CVE 编号

CVE-2022-21306
CVE-2022-21292
CVE-2022-21371
CVE-2022-21252
CVE-2022-21347
CVE-2022-21350
CVE-2022-21353

FOFA 查询

app="BEA-WebLogic-Server" || app="Weblogic_interface_7001"

影响范围

CVE-2022-21306
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

CVE-2022-21292
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

CVE-2022-21371
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

CVE-2022-21252
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

CVE-2022-21347
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

CVE-2022-21350
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

CVE-2022-21353
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="BEA-WebLogic-Server" || app="Weblogic_interface_7001")共有 95,736 个相关服务对外开放。美国使用数量最多,共有 26,138 个;中国第二,共有 19,972 个;日本第三,共有 3,715 个;德国第四,共有 3,525 个;印度第五,共有 3,305 个。

Snipaste_2022-01-19_08-09-51.png

中国大陆地区北京使用数量最多,共有 4,344 个;山东第二,共有 1,048 个;上海第三,共有 804 个;广东第四,共有 760 个;吉林第五,共有 728 个。

Snipaste_2022-01-19_08-10-04.png

Vulfocus 靶场环境

目前 Vulfocus 已经集成多个 Weblogic 环境,可通过以下链接启动环境测试:

http://vulfocus.fofa.so/#/dashboard?image_id=f7650678-c6e1-4ee1-80f5-aa93b8b37394

http://vulfocus.fofa.so/#/dashboard?image_id=858feeee-421d-46d5-b95f-90bfc31df6f3

也可通过以下命令拉取本地环境运行:

docker pull vulfocus/weblogic-cve_2021_2109:latest
docker pull vulfocus/weblogic-cve_2020_2551:latest
docker pull vulfocus/weblogic-cve_2018_2628:latest
……

Snipaste_2022-01-19_08-26-43.png

修复建议

通用修补建议

参考Oracle官方更新的补丁,及时进行更新:https://www.oracle.com/security-alerts/cpujan2022.html

Weblogic 临时修补建议

  1. 如果不依赖 T3协议进行 JVM通信,可禁用 T3协议。

  2. 如果不依赖 IIOP协议进行 JVM通信,可禁用 IIOP协议。

参考

[1] https://www.oracle.com/security-alerts/cpujan2022.html


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论