【安全通报】Weblogic 远程代码 执行漏洞(CVE-2023-21931)

xiannv  613天前

Image

一、    漏洞概述

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

WebLogic 存在远程代码执行漏洞(CVE-2023-21931),该漏洞允许未经身份验证的攻击者通过T3、IIOP协议网络访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致WebLogic Server被攻击者接管,从而造成远程代码执行。

二、    影响范围

本次漏洞影响范围如下:

12.2.1.2.0
12.2.1.1.0
12.2.1.3.0
12.2.1.0.0
12.2.1.4.0
14.1.1.0.0
12.1.2.0.0
12.1.3.0.0
10.3.6.0

FOFA Query:

app="BEA-WebLogic-Server" || app="Weblogic_interface_7001"

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="BEA-WebLogic-Server"||app="Weblogic_interface_7001")共有 127,158 个相关服务对外开放。中国使用数量最多,共有50,471 个;美国第二,共有 26,247 个;日本第三,共有4,103 个;印度第四,共有 3,684 个;德国第五,共有3,663 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况):

1.png

中国大陆地区北京使用数量最多,共有10,372个;浙江第二,共有7,364个;上海第三,共有4,891个;广东第四,共有3,993个;山东第五,共有2,703个。

2.png

三、    漏洞复现

白帽汇安全研究院于第一时间复现了该漏洞:

3.png

四、    Vulfocus

Vulfocus 已经集成该漏洞环境可通过以下环境使用:

docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.2.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.1.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.3.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.4.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.0.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:14.1.1.0.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.1.2.0.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.1.3.0.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:10.3.6.0-jdk-release

五、    修复建议

参考Oracle官方更新的补丁,及时进行更新:https://www.oracle.com/security-alerts/cpuapr2023.html

六、    参考链接

[1]  https://www.oracle.com/security-alerts/cpuapr2023.html

最新评论

昵称
邮箱
提交评论