【漏洞预警】Weblogic反序列化命令执行漏洞_CVE-2018-2628

北京时间4月18日凌晨，Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）,其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628)，该漏洞可以使远程攻击者可以在未授权的情况下远程执行代码，提升系统权限。危害等级严重。该#Weblogic#漏洞的相关的PoC已经开始流传，危害严重。白帽汇安全研究院提醒广大管理员，运维人员，站长及时进行修复。做好防范措施，以免受到不必要的损失。

概况

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

目前FOFA系统中全球范围内共有18120个Weblogic对外开放服务。中国使用数量最多，共有6162台，美国第二，共有3971台，荷兰第三，共有2433台，法国第四，共有489台，伊朗第五，共有407台。

 全球范围内weblogic分布情况（仅为分布情况，非漏洞影响情况）

中国地区中北京市使用用数量最多，共有1331台；广东省第二，共有641台台，上海市第三，共有619台，江苏省第四，共有527台，浙江省第五，共有451台。

 中国地区weblogic分布情况（仅为分布情况，非漏洞影响情况）

危害等级

严重

原理危害

漏洞利用通过Weblogic服务器开放的T3服务建立Socket连接，然后攻击者发送精心构造的数据包到服务端，从而导致造成反序列化命令执行。该漏洞危害严重，可导致远程攻击者获取服务器权限，造成服务器被完全控制，被拖库等危害。

影响

目前漏洞影响版本号包括：

• Weblogic 10.3.6.0

• Weblogic 12.1.3.0

• Weblogic 12.2.1.2

• Weblogic 12.2.1.3

漏洞POC

FOFA客户端正在加紧录入相关PoC。

CVE编号

CVE-2018-2628

修复建议

1、安装补丁，用户可以通过http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html 连接中的信息安装补丁。
2、可临时通过限制T3协议的通信来防止漏洞被利用。

白帽汇会持续对该漏洞进行跟进。后续可以持续本链接。

参考

[1] http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html 

[2] 部分信息来源于内部社群。

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。